文章总结： 本文分析基于.NET的Chaos勒索软件变种。样本通过伪装svchost.exe实现持久化，具备删除卷影副本、禁用备份等反取证手段，包含剪贴板劫持与横向传播功能。最终判定其因参数混乱更似Builder演示，实战威胁相对有限。 综合评分： 84 文章分类： 恶意软件,漏洞分析,逆向分析,威胁情报,安全运营

---

Chaos 勒索软件变种分析（.NET 版本）

haidragon

安全狗的自我修养

2026年1月8日 12:04 湖南

官网：http://securitytech.cc/

#

---

📌 摘要（Summary）

1. 分析的样本是 Chaos 勒索软件的一个变种，基于 .NET 实现
2. 它几乎禁用了 所有备份系统
3. 使用了 Base64 编码的图片，很可能作为勒索软件加载器
4. 使用了 多种规避与对抗技术
5. 会禁用浏览器、网络工具等，并使用 记事本打开 readme.txt（勒索说明）

---

🔍 样本分析（Analysis of the sample）

图 1 — 可疑进程执行链

• 一个名为 svchost.exe 的程序从 异常路径 启动 C:\Users\admin\AppData\Roaming\
• 合法的 svchost.exe只应该存在于： C:\Windows\System32\
• 因此该行为被标记为 高度可疑

---

图 2 — 创建名为 svchost.exe 的文件

🔴 名称伪装（Name Impersonation）

• 真正的 svchost.exe 只存在于 C:\Windows\System32\
• 其他位置出现的几乎 必然是恶意程序

📂 路径选择原因（AppData\Roaming）

• 不需要管理员权限
• 用户几乎不会查看
• 加入启动项后 可在重启后持续存活

🔑 权限问题

• 文件被授予 READ / WRITE / APPEND / SYNCHRONIZE 等权限
• 几乎拥有 完全控制权

---

图 3 — 持久化机制（Persistence）

• 启动文件夹自启动

• 即使关闭恶意进程，重启后仍会执行

• 文件名 read_it.txt：

• 极可能是 勒索说明文件

• 强烈暗示这是 勒索软件

---

图 4 — 另一种持久化方式

• 注册表 Run 键自启动

• 伪装名称：UpdateTask（看起来像系统更新）

• 双重持久化

• 即使删除一种方式，仍能存活

---

图 5 — 检测到勒索软件

• RYUK（CHAOS 变种）
• 内存中检测到恶意代码（地址 0x8c0000）
• 使用 YARA 规则 进行特征匹配检测

---

图 6 — 针对 Chrome 浏览器的行为

• 在多个位置投放 read_it.txt

• 可能行为包括：

• 窃取 Chrome 保存的密码

• 修改扩展以维持持久化

• 窃取 Cookie、浏览记录、支付信息

📌 双重勒索： 在加密前 先窃取数据，威胁公开泄露

---

图 7 — 使用记事本打开勒索说明

• 程序：C:\Windows\System32\notepad.exe
• 打开文件：read_it.txt
• 目的：显示赎金要求、付款方式和威胁信息

---

图 8 — 剪贴板劫持

• 监听剪贴板内容
• 正则匹配特定格式（加密货币地址）
• 直接调用 Windows API
• 创建勒索提示窗口

---

图 9 — 通过剪贴板劫持盗取加密货币

• 监听所有复制内容

• 检测比特币地址：

• bc1（Bech32）

• Legacy 地址

• 自动替换为攻击者的钱包地址

• 用户几乎无法察觉

---

图 10 — 主入口函数与地理围栏

🌍 地理封锁（Geofencing）

• 检测是否位于“禁止国家”

• 若是则显示 Forbidden Country 并退出

• 常见跳过国家：

• 俄罗斯、白俄罗斯、部分独联体国家

📌 目的：规避本国执法风险

---

图 11 — RegistryValue() 检测

• 防止重复感染
• 标记系统“已被感染”
• 避免多实例加密冲突

---

图 12 — 自我复制伪装

• 复制自身到 AppData
• 尝试使用 runas 提权
• 原始进程退出

---

图 13 — CopyRoaming() 函数逻辑

• 读取自身
• 复制到 %AppData%\Roaming\[processName]
• 启动新副本
• 终止原进程

---

图 14 — 注册表启动项

• UpdateTask
• 每次登录即执行
• 永久持久化

---

图 15 — 破坏 Windows 恢复机制

执行命令效果：

• 删除系统还原点
• 删除卷影副本
• 禁用恢复环境
• 删除备份目录
• 隐藏启动修复选项

👉 完全断绝恢复可能

---

图 16 — 禁用任务管理器

• Ctrl+Shift+Esc 无法使用
• 错误提示：“任务管理器已被管理员禁用”

---

图 17 — 被停止的备份服务列表

---

图 18 — 排除目录原因

❌ 为什么不加密这些目录？

• Windows / Program Files 会导致系统崩溃

• 勒索软件 需要系统还能用

• 让你看到勒索信

• 让你能付钱

• 让你运行解密器

---

图 19 — 横向传播 spreadIT()

• USB 传播
• 网络共享传播
• 感染备份磁盘

---

图 20 — 生成并打开勒索说明

• 写入 read_it.txt
• 延迟 500ms
• 自动使用记事本打开

---

图 21 — 设置桌面壁纸

• 无法忽视
• 持续心理施压

---

🧠 总结（Conclusion）

这是一个 RYUK / CHAOS 勒索软件变种，具备：

• 多重持久化
• 强反取证
• 剪贴板劫持盗币
• 文件加密

但其配置显示：

• 邮箱明显无效

• 参数混乱

• 更像 测试样本 / Builder 演示 / 教学样本

• 公众号:安全狗的自我修养

• vx:2207344074

• http://gitee.com/haidragon

• http://github.com/haidragon

• bilibili:haidragonx

#

• 

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全狗的自我修养 haidragon《Chaos 勒索软件变种分析（.NET 版本）》