原樣本在公司，這里分析的是過了混淆之后的dump文件：
list一下字符串：

基本確定是GandCrab的變種了，詳細分析一下它的模塊

ghidra有很多進程沒有識別出來，但是很明顯這是結束關鍵進程的，以免文件被占用不能加密。
跟蹤這個函數，發現只有一次調用，那就好辦了：

跟蹤那個函數，可以發現這里是遍歷磁盤，跟進線程的回調函數：

進入遍歷磁盤函數，先在桌面創建一個Decrypt.txt文件：

進入加密文件函數fun_00405807,發現加密時先導入rsa公鑰，然后讀入文件內容加密，最后用 MoveFile改文件名字。

在文件的尾部寫入了GandCrab的相關信息。

在加密線程結束之后，開始上傳用戶的計算機信息：

getComputerInfo函數,把獲取到的信息保存到存過來到結構體里面，用到HeapAlloc申請到內存，houm：

接下來調用FUN_00405dcd函數將結構體全部解析為字符串

最后用Base64加密post傳給服務器：

總結

以上是生活随笔為你收集整理的变种GandCrab样本分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。