tft每日頭條

 > 科技

 > 勒索病毒老外來幫你解決

勒索病毒老外來幫你解決

科技 更新时间:2024-08-12 19:13:51
又見勒索軟件

前段時間忙壞了,清明假期得閑,在農村老家放松了幾天。

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)1

我正在悠閑的垂釣,一個讀者微信上緊急聯系我說,自己的電腦中了勒索病毒!

自從之前寫過一篇挖礦病毒的文章後,就收到過不少朋友的消息讓我幫忙處理,不過平時上班太忙,很難抽出功夫分析。這次剛好是假期,就收了魚竿回去分析起來(其實是蹲了一下午,魚兒不給面子)。

不分析不知道,一分析把我裂開了,這是我見過最菜的勒索軟件了。

這位讀者把勒索程序發給了我,這是一個用易語言寫的程序,從名字上看起來好像是用來批量注冊QQ号的,還附帶了一個說明文檔:

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)2

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)3

好家夥,居然還騙使用者把安全軟件關掉,理由是容易被當病毒給關閉,這一波僞裝666。

好啦,咱們在虛拟機裡面執行一下這個程序看看:

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)4

一執行屏幕就黑了,全屏出現了上面這個界面。

引導語還很氣人:30元解鎖,比你花幾百塊刷機強,挺嚣張啊!

最神奇的是居然還留下了QQ聯系方式,這病毒制作者看來也是新手,就憑這QQ号,網警分分鐘就能找上門。

我沒有給這個QQ号打碼,因為我在QQ上搜了這個号碼,已經搜索不到了,不知是已經被端了,還是自己害怕了設置了不允許被搜索到。

接下來,我發現了一個很有意思的現象:我的虛拟機是在macpro上的vmware fusion上面,當我從虛拟機切到Mac系統的屏幕再切回去時發現,虛拟機中Windows的分辨率自動給我重置了。

這一重置不要緊,剛剛這個勒索軟件一下子隻有半截了,露出了本來面目:原來就是一個全局置頂的窗口,還沒有跟随系統分辨率的變化自動調整窗口大小,也是太菜了。

現在這問題就簡單了,直接調出任務管理器,把這貨的進程殺掉就行了!

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)5

不過考慮到我這是在vmware fusion虛拟機中,才自動調整分辨率,在真實的電腦上,中招的電腦上沒有機會調整分辨率,也沒法操作把任務管理器給調出來,所以還得看看有沒有其他破解之道。

我打算重啟後看看這家夥有沒有加入開機自啟動。

我重啟了虛拟機,發現這貨居然給我添加了1個admin用戶進去,還給我原來的默認用戶Administrator添加了密碼!!!

這下好了,真進不去了!

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)6

好了,接下來開始啟動分析,摸摸這勒索軟件的斤兩。

分析過程

我先把目标鎖定在了添加用戶這部分,因為得先能進入系統才好調試分析。雖說這軟件是用易語言編寫,但實際上最終都是會調用Win32的一堆API,所以我開始搜索程序的導入表中與用戶添加相關的API:

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)7

搜尋了一圈發現這軟件并沒有是用上面的任何函數,那它是咋添加的用戶?

我改變了策略,它不是要添加用戶嗎,用戶不是叫admin嘛,那我搜索程序中有admin相關的字符串。這一搜驚掉了我的下巴:

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)8

看來我太高估這個程序了,不用什麼Win32 API,直接調用cmd執行命令就行了。

而且,命令啥的這麼重要的信息完全明文暴露,密碼也就真相大白了:

admin: asdfghjkl

Administrator: 69

admin的密碼我好理解,就是鍵盤上A鍵開頭的那一排英文字母嘛,可這個Administrator的密碼為什麼是69,69是什麼意思?我到現在都沒想明白。

持着懷疑的态度,輸入上面的密碼,還真給進去了,這也太菜了X2~~

不過一進去,馬上又彈出了那個黑色的勒索界面,看來還真是加入了開機啟動項。

我随意輸入了一些密碼,都是提示密碼錯誤,看來還得再琢磨一下它的密碼是如何校驗的。

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)9

這種情況,一般都是先定位到執行密碼校驗的部分,然後分析判斷邏輯。

定位的方法在這裡可以給GetWindowText和SetWindowText下斷點,這倆函數分别是獲取密碼輸入框的内容和設置“密碼錯誤”的提示。

通過兩個函數的調用堆棧,往前倒推,執行密碼校驗的部分很快就能圈定。

不過還沒等我用上面的方法來分析,這個勒索軟件真正讓我裂開的地方出現了,我在“密碼錯誤!”的提示字符串旁邊,看到了另外一串字符,跟Administrator的密碼一樣,也是asdfghjkl

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)10

這會是個啥,我懷着試試的态度,輸入到了密碼輸入框,點擊确定,居然奇迹般的解開了鎖定!30元的勒索密碼就這樣明文躺在錯誤提示的旁邊,你敢信?

這勒索軟件也太菜了X3!

教你幾招

言歸正傳,懂技術的人能看出,這勒索軟件做的确實不入流,技術一般也就罷了,還明目張膽的暴露了自己。不過,這軟件菜歸菜,如果是普通用戶遇到了,還确實是件比較頭疼的事情。

接下來軒轅這裡介紹幾招,遇到了一般的勒索軟件不要慌。

安全模式

安全模式是Windows提供的一種啟動模式,在這種模式下,普通的開機自啟動程序都不會執行,很多驅動程序也不會加載,是一個相對幹淨的環境,你可以進入這個環境下删除病毒程序。

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)11

U盤進入

安全模式也不是萬能的,有些比較厲害的程序,即使進入安全模式也會運行,這種情況下就得另辟蹊徑。

針對這種級别的入侵,可以選擇像用U盤安裝系統那樣,使用U盤制作一個啟動盤,修改BIOS中的引導項,使用U盤引導。

開機後,直接進入U盤中的WinPE環境,這是一個用于預安裝的小型系統,進入這個環境清除掉硬盤上的勒索軟件程序。

勒索病毒老外來幫你解決(這個勒索軟件笑死我了)12

最後的最後,還是老生常談了,重要的數據多備份,雲盤、移動硬盤、電腦都存着,狡兔還三窟呢,應對勒索軟件,備份才是王道!

作者:軒轅之風

來源:編程技術宇宙(ID:xuanyuancoding)

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关科技资讯推荐

热门科技资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved