Pexels图片又见勒索病毒我正在悠闲的钓鱼,一位读者微信紧急联系我,说他的电脑中了勒索病毒!自从我之前写了《挖矿病毒》的一篇文章后,收到了很多朋友的留言让我帮忙做一下。不过平时工作太忙,没时间分析。这次刚好是放假,就把鱼竿收了回去分析(其实我蹲了一个下午,鱼也不给我面子)。不分析就不知道了。一旦我分析了它,它就把我分开了。这是我见过的最糟糕的勒索软件。这位读者向我发送了勒索软件程序。这是一个用简单语言编写的程序。看名字好像是用来批量注册QQ号的。还附带了一份说明文件:好家伙,用起来还是作弊。那些把安全软件关掉的,原因是很容易被病毒关掉,这波伪装666。好了,我们在虚拟机中执行这个程序看看:一开机就黑屏执行完毕,全屏出现如上界面。介绍语还是很气人:30块钱解锁还不如花几百块刷机,蛮嚣张的!最神奇的是,它竟然还留下了QQ联系方式。号,网警分分钟找上门。我没有码这个QQ号,因为我在QQ上搜索过这个号,没找到。不知道是不是已经移植了,还是怕设置不允许搜索。接下来发现一个很有意思的现象:我的虚拟机在macpro上是vmwarefusion。当我从虚拟机切换到Mac系统的屏幕再切换回来时,发现虚拟机中Windows的分辨率自动变了。为我重置它。此重置无关紧要。刚刚,勒索病毒只对了一半,露出了它的本来面目:原来是一个全局的置顶窗口,而且窗口大小并没有根据系统分辨率的变化自动调整,太糟糕了。现在这个问题就简单了,调出任务管理器把这个产品的进程杀掉就行了!但是考虑到我是在vmwarefusion虚拟机里,分辨率是自动调整的。在真机上,中招的电脑上是没机会调分辨率的,也没办法调出任务管理器,只好看看有没有别的办法破解了。打算重启看看这家伙有没有加入开机自启动。我重启了虚拟机,发现这个产品竟然给我添加了admin用户,并且给我原来的默认用户administrator添加了密码!!!这下好了,我真的进不去!好了,接下来开始分析,感受下这款勒索软件的分量。在分析过程中,我首先关注的是添加用户的部分,因为在调试分析之前需要先进入系统。这个软件虽然是易语言写的,但最后其实会调用一堆Win32的API,所以我开始在程序的导入表中查找用户添加相关的API:四处寻找,发现这个软件确实没有使用上面的任何功能,它如何添加用户?我换了个策略,不是加用户吗,这个用户不叫admin,然后我在程序里搜索admin相关的字符串。这一搜惊呆了我的下巴:看来我高估了这个程序,不需要Win32API,直接调用cmd执行命令即可。而且命令等重要信息完全明文暴露,密码也暴露了:admin:asdfghjklAdministrator:69我明白了admin的密码,就是键盘上A键开头的那一行英文字母,但是这个Administrator的密码为什么是69,69是什么意思?直到现在我才弄明白。抱着半信半疑的态度,输入了上面的密码,果然进去了。这也太牛了X2~~不过一进去,黑黑的勒索界面又跳出来了,看来真的是加了启动项。随便输入了一些密码,结果都说密码错误。看来得想想它的密码是怎么验证的了。这种情况一般是先定位到进行密码校验的部分,再分析判断逻辑。定位方法可以在这里为GetWindowText和SetWindowText设置断点。这两个函数分别是获取密码输入框的内容和设置“密码错误”的提示。通过两个函数的调用栈,前推后推,可以快速圈定出进行密码校验的部分。但是还没等我用上面的方法分析,这个勒索病毒真正破解我的地方就出现了。又看到“密码错误!”的提示串旁边还有一串字符,和Administrator的密码一样。,也是asdfghjkl。这会是什么?抱着试一试的态度,进入密码输入框,点确定,锁就奇迹般地解开了!30元勒索密码明文躺在错误信息旁边,你信吗?这个勒索软件太牛X3了!让我教你一些技巧。言归正传,懂技术的人都看得出来,这款勒索病毒确实算不上顶尖,技术也很一般,公然暴露自己。不过这款软件是个菜,普通用户要是遇到了,确实很头疼。接下来,轩辕就在这里介绍几招。如果遇到普通勒索软件,请不要惊慌。①安全模式安全模式是Windows提供的一种启动模式。在这种模式下,不会执行正常的启动程序,也不会加载很多驱动程序。是一个比较干净的环境。您可以进入该环境清除病毒程序。②U盘进入安全模式也不是万能的。一些强大的程序即使在进入安全模式后也会运行。在这种情况下,您必须找到其他方法。对于这种级别的入侵,可以选择使用U盘制作启动盘,修改BIOS中的启动项,使用U盘启动,就像使用U盘安装系统一样。开机后直接进入U盘中的WinPE环境,这是一个预装的小系统,进入这个环境可以清除硬盘上的勒索程序。最后,它仍然是陈词滥调。应备份重要数据。云盘、移动硬盘、电脑都存储。狡兔犹在三窟。对付勒索病毒,备份为王!作者:轩辕志峰编辑:陶家龙来源:转载自公众号编程科技宇宙(ID:xuanyuancoding)
