图13
访问C2:hxxp: urchintelemetry#com、hxxp: //bellsyscdn#com
图14
修改注册表设置自身的隐藏属性
图15
枚举文件并创建伪装的lnk启动
图16
启动浏览器后台连接hxxps://xmrmsft-com/hive.html进行挖矿,某些情况下(比如木马写死调用Edge,但感染的非Windows10系统并没有Edge浏览器),出现在如下错误信息。
图17
挖矿代码
图18
连接nrqmail.org下载GandCrab3勒索病毒
图19
GandCrab3勒索病毒执行
图20
0×3 安全建议1. 不随意使用不安全的移动存储设备,使用时先通过杀毒软件扫描。
2. 保持杀毒软件实时开启可拦截该病毒威胁。
0×4 IOCsC2:
hxxp:// urchintelemetry#com
hxxp: //bellsyscdn#com
hxxp:// 95.153.31#22
hxxp: //95.153.31#18
md5:
0bf071ad3022216461e6f3bfc67abf83
2d8be21fac098d8dd2dcfa66078d3496
36e27a400f60a69c0b1f1590c3d0d9ff