前段時間忙壞了，清明假期得閑，在農村老家放松了幾天。

我正在悠閑的垂釣，一個讀者微信上緊急聯系我說，自己的電腦中了勒索病毒！

自從之前寫過一篇挖礦病毒的文章後，就收到過不少朋友的消息讓我幫忙處理，不過平時上班太忙，很難抽出功夫分析。這次剛好是假期，就收了魚竿回去分析起來（其實是蹲了一下午，魚兒不給面子）。

不分析不知道，一分析把我裂開了，這是我見過最菜的勒索軟件了。

這位讀者把勒索程序發給了我，這是一個用易語言寫的程序，從名字上看起來好像是用來批量注冊QQ号的，還附帶了一個說明文檔：

好家夥，居然還騙使用者把安全軟件關掉，理由是容易被當病毒給關閉，這一波僞裝666。

好啦，咱們在虛拟機裡面執行一下這個程序看看：

一執行屏幕就黑了，全屏出現了上面這個界面。

引導語還很氣人：30元解鎖，比你花幾百塊刷機強，挺嚣張啊！

最神奇的是居然還留下了QQ聯系方式，這病毒制作者看來也是新手，就憑這QQ号，網警分分鐘就能找上門。

我沒有給這個QQ号打碼，因為我在QQ上搜了這個号碼，已經搜索不到了，不知是已經被端了，還是自己害怕了設置了不允許被搜索到。

接下來，我發現了一個很有意思的現象：我的虛拟機是在macpro上的vmware fusion上面，當我從虛拟機切到Mac系統的屏幕再切回去時發現，虛拟機中Windows的分辨率自動給我重置了。

這一重置不要緊，剛剛這個勒索軟件一下子隻有半截了，露出了本來面目：原來就是一個全局置頂的窗口，還沒有跟随系統分辨率的變化自動調整窗口大小，也是太菜了。

現在這問題就簡單了，直接調出任務管理器，把這貨的進程殺掉就行了！

不過考慮到我這是在vmware fusion虛拟機中，才自動調整分辨率，在真實的電腦上，中招的電腦上沒有機會調整分辨率，也沒法操作把任務管理器給調出來，所以還得看看有沒有其他破解之道。

我打算重啟後看看這家夥有沒有加入開機自啟動。

我重啟了虛拟機，發現這貨居然給我添加了1個admin用戶進去，還給我原來的默認用戶Administrator添加了密碼！！！

這下好了，真進不去了！

好了，接下來開始啟動分析，摸摸這勒索軟件的斤兩。

我先把目标鎖定在了添加用戶這部分，因為得先能進入系統才好調試分析。雖說這軟件是用易語言編寫，但實際上最終都是會調用Win32的一堆API，所以我開始搜索程序的導入表中與用戶添加相關的API：

搜尋了一圈發現這軟件并沒有是用上面的任何函數，那它是咋添加的用戶？

我改變了策略，它不是要添加用戶嗎，用戶不是叫admin嘛，那我搜索程序中有admin相關的字符串。這一搜驚掉了我的下巴：

看來我太高估這個程序了，不用什麼Win32 API，直接調用cmd執行命令就行了。

而且，命令啥的這麼重要的信息完全明文暴露，密碼也就真相大白了：

admin: asdfghjkl

Administrator: 69

admin的密碼我好理解，就是鍵盤上A鍵開頭的那一排英文字母嘛，可這個Administrator的密碼為什麼是69，69是什麼意思？我到現在都沒想明白。

持着懷疑的态度，輸入上面的密碼，還真給進去了，這也太菜了X2~~

不過一進去，馬上又彈出了那個黑色的勒索界面，看來還真是加入了開機啟動項。

我随意輸入了一些密碼，都是提示密碼錯誤，看來還得再琢磨一下它的密碼是如何校驗的。

這種情況，一般都是先定位到執行密碼校驗的部分，然後分析判斷邏輯。

定位的方法在這裡可以給GetWindowText和SetWindowText下斷點，這倆函數分别是獲取密碼輸入框的内容和設置“密碼錯誤”的提示。

通過兩個函數的調用堆棧，往前倒推，執行密碼校驗的部分很快就能圈定。

不過還沒等我用上面的方法來分析，這個勒索軟件真正讓我裂開的地方出現了，我在“密碼錯誤！”的提示字符串旁邊，看到了另外一串字符，跟Administrator的密碼一樣，也是asdfghjkl。

這會是個啥，我懷着試試的态度，輸入到了密碼輸入框，點擊确定，居然奇迹般的解開了鎖定！30元的勒索密碼就這樣明文躺在錯誤提示的旁邊，你敢信？

這勒索軟件也太菜了X3！

教你幾招

言歸正傳，懂技術的人能看出，這勒索軟件做的确實不入流，技術一般也就罷了，還明目張膽的暴露了自己。不過，這軟件菜歸菜，如果是普通用戶遇到了，還确實是件比較頭疼的事情。

接下來軒轅這裡介紹幾招，遇到了一般的勒索軟件不要慌。

安全模式

安全模式是Windows提供的一種啟動模式，在這種模式下，普通的開機自啟動程序都不會執行，很多驅動程序也不會加載，是一個相對幹淨的環境，你可以進入這個環境下删除病毒程序。

U盤進入

安全模式也不是萬能的，有些比較厲害的程序，即使進入安全模式也會運行，這種情況下就得另辟蹊徑。

針對這種級别的入侵，可以選擇像用U盤安裝系統那樣，使用U盤制作一個啟動盤，修改BIOS中的引導項，使用U盤引導。

開機後，直接進入U盤中的WinPE環境，這是一個用于預安裝的小型系統，進入這個環境清除掉硬盤上的勒索軟件程序。

最後的最後，還是老生常談了，重要的數據多備份，雲盤、移動硬盤、電腦都存着，狡兔還三窟呢，應對勒索軟件，備份才是王道！

作者：軒轅之風

來源：編程技術宇宙（ID：xuanyuancoding）

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部