API Monitor Petya

[Halison Matos Fernandes]

Boa Noite 

Mercês, na aula 3 do curso usamos o api monitor e depois voce mostoru como parar a cifra do binario que é um ransomware para que o mesmo seja analisado. Fiz alguns execícios utilizando outros binários e cheguei no Petya. Como já é de conheicmento o comportamento dele é desligar a maquina e depois realizar a cifra no boot com uma tela semelhante de um check disk. Eu consegui fazer com que ele não fizesesse esse shutdown, porém não sei se foi da maneia correta.

Basicamente eu executava o binario e dpeois matava o o processo dele, iniciando ele pelo API monitor. Ele carregava a primeira Threads e eu analisei as funções que apareceu e depois segui os passos da aula 3 do curso.

Se puder mostrar a forma correta de analisar esse caso ou otro semelhante seria interessante.

Valeu.

[Fernando Mercês]

Oi Halison!

Olha, não acho que exista uma "forma correta", viu... Se você patcheou ou mesmo impediu "por fora do malware", ou seja, pelo sistema que a ecriptação ocorresse, em minha opinião já foi. Tá feito. Em vários casos nem é necessário impedir a encriptação, ou esta é feita a cada execução, tanto faz. Na aula 3 do AMO pus em prática a ideia de patchear a função que encripta, mas tem certamente muitas outras maneiras e acho que a certa é a que funciona. ?

Como no seu caso funcionou, parabéns! Em minha experiência, análise de malware não é um conjunto de técnicas, é uma aplicação de vários conhecimentos que quase sempre resulta em diferentes soluções para diferentes problemas mesmo.

Abraço!

[Halison Matos Fernandes]

Blz Então Mercês.

 

Valeu e obrigado pela resposta.