【EDR极'智'勒索防护】“暗黑天使”降临：DarkAngels勒索病毒全揭秘

（一）Windows 版本分析

总体功能框架

使用静态分析，发现恶意文件是基于 32 位 GUI （图形用户界面）的二进制文件。

获取命令行参数，通过调用 SetProcessShutdownParameters(0,0)  ,恶意软件为指定进程设置它相对于其它程序的关闭顺序，参数为 0，意味着较其他进程关闭得最迟。

终止服务

为了确保在系统加密过程中不中断其加密过程，恶意软件会枚举和检索受害者机器上所有可用的服务，在加密系统之前尝试终止服务。

打开服务控制管理器数据库 (0xF003F = SC_MANAGER_ALL_ACCESS)。

调用 OpenServiceA，打开一个目标服务(0x2c = SERVICE_STOP )。

查询服务状态，判断上一步骤参数是否正确传递。

检索每个依赖于指定服务的服务的名称和状态;也就是说，在依赖服务能够运行之前，指定的服务必须运行 (0x1 = SERVICE_ACTIVE)。

终止服务 (0x1 = SERVICE_CONTROL_STOP)。

终止的服务列表

终止进程

函数 CreateToolhelp32Snapshot() 获得当前运行进程的快照后，我们可以利用 process32First 函数来获得第一个进程的句柄。

将当前进程与硬编码中的进程表对比，如果当前进程句柄与表中匹配。则打开指定进程的句柄，并传入 0x1 参数(0x1 = PROCESS_TERMINATE)，随后终止进程，最后关闭该进程句柄。

继续枚举下一个进程。

重复上述操作，直至遍历完所有进程。

终止进程列表

防止恢复

（1）删除卷影

（2）清空回收站

使用 SHEmptyRecycleBinA() API，恶意软件会从回收站中删除所有项目，以确保加密后不会恢复已删除的文件。

最大化执行加密操作

首先创建互斥变量 DarkAngels：

（1）当命令行参数中包含"shares"

使用 NetShareEnum () API 检索有关服务器上每个共享资源的信息。

检查  $ADMIN  共享并开始加密文件：

（2）当命令行参数中包含 "path"

勒索软件会调用 GetDriveTypeW() API  来找出连接到受感染机器的网络驱动器。一旦识别出网络驱动器，勒索软件就会开始加密文件。

（3）当命令行参数中既不包含 "shares"又不包含 "paths"

勒索软件会递归遍历所有本地驱动器并加密所有目标文件。加密后，文件被赋予 .crypt 扩展名。

遍历所有本地驱动器

枚举卷及本地磁盘

获取驱动器类型，判断路径是否有效GetDriveTypeW(0x1)，如果路径有效，则对卷进行枚举。调用 GetVolumePathNamesForVolumeName 获取路径信息，查看该卷是否被安装，若未被安装，则调用SetVolumeMountPointW 安装未被安装的卷。

枚举网络资源

文件加密

（1）被加密文件添加扩展

调用 SetFileAttributesW(0x80 = FILE_ATTRIBUTE_NORMAL ) 设置文件属性，取消文档的只读、隐藏、系统、存档权限。调用 MoveFileExW 函数，被加密文件添加扩展 .crypt。

调用CreateFileW(0xC0000000 = GENERIC_READ | GENERIC_WRITE,0x3 = OPEN_EXISTING)，打开一个已经存在的文件。