照片来源于 Pexels
明天就是星期一了勒索软件
我正在悠闲自在的钓鱼,一个阅读者微信上应急联络我讲,自身的计算机中了勒索软件!
自打以前读过一篇《挖矿病毒》的内容后,就接到过许多小伙伴的新闻要我帮助解决,但是平常工作太忙,难以抽出来时间分析。
此次恰好是假日,就收了钓竿回家分析起來(实际上是蹲了一中午,鱼群不留面子)。
不分析不清楚,一分析把我裂开了,这是我见过最菜的勒索软件了。
这名阅读者把敲诈勒索程序发送给了我,这是一个用e语言写的程序,从名称上看上去好像是用于大批量申请注册 QQ 号的,还附送了一个表明文本文档:
好家伙,竟然还骗使用人把电脑安全软件关闭,原因是非常容易被当病毒感染给关掉,这一波掩藏 666。
好了,我们在vm虚拟机里边实行一下这一程序看一下:
一实行显示屏就黑了,全屏幕发生了上边这种页面。
正确引导语还很气死人:30 元开启,比你花几百元手机刷机强,挺猖狂啊!
最奇妙的是竟然还留下来了 QQ 联系电话,这病毒感染创作者来看也是初学者,就凭这 QQ 号,网络警察一下子就能找上门来。
我并没有给这一 QQ 号打马赛克,由于我还在 QQ 上搜过这一号,早已检索不到了,不知道是早已被端了,或是自身担心了设定了不允许被检索到。
下面,我发现一个很好玩儿的状况:我的vm虚拟机是在 macpro 上的 vmware fusion 上边,在我从vm虚拟机切到 Mac 系统软件的手机屏幕再切回家时发觉,vm虚拟机中 Windows 的屏幕分辨率全自动帮我重设了。
这一重置没事儿,刚这一勒索软件一下子仅有半拉了,外露了本相:原先便是一个全局性置顶的对话框,都还没追随系统软件屏幕分辨率的改变自行调节对话框尺寸,也是太菜了。
如今这问题就简洁了,立即调成资源管理器,把这货的过程杀死就可以了!
但是充分考虑我这个是在 vmware fusion vm虚拟机中,才全自动调节屏幕分辨率,在实际的电脑,有没有中招的电脑沒有机遇调节屏幕分辨率,也无法实际操作把资源管理器给调出去,因此还得看一下是否有别的破译之道。
我准备重新启动后看一下这混蛋是否有添加开机自启动。
我重新启动了vm虚拟机,发觉这货竟然帮我添加了 1 个 admin 用户进来,还给我原先的默认设置用户 Administrator 添加了密码!!!
这下好啦,真进不了了!
好啦,下面逐渐运行分析,摸下这勒索软件的斤两。
分析全过程
我先把总体目标锁住在了添加用户这一部分,由于得先能进到操作系统才好调节分析。
虽然这手机软件是用e语言撰写,但事实上最后全是会启用 Win32 的一堆 API,所以我逐渐检索程序的导进表格中与用户添加有关的 API:
寻找了一圈发觉这手机软件并沒有是用上边的一切函数公式,那么它是咋添加的用户?
我转变了对策,它并不是要添加用户吗,用户不是叫 admin 嘛,那么我检索程序中有 admin 有关的字符串数组。
这一搜惊掉了我的下颌:
来看我太虚高这一程序了,无需哪些 Win32 API,立即启用 cmd 运行命令就可以了。
并且,指令啥的那么关键的信息内容彻底密文曝露,密码也就水落石出了:
- admin: asdfghjkl
- Administrator: 69
admin 的密码我也好了解,便是键盘上 A 键开始的那一排英语字母嘛,可这一 Administrator 的密码为什么是 69,69 代表什么意思?我到现在都没想搞清楚。
持着猜疑的心态,键入里面的密码,还真给进去,这也太菜了X2~~
但是一进来,没多久弹出来了这个灰黑色的敲诈页面,来看还真的是添加了开机启动项。
我随便键入了一些密码,全是提醒密码不正确,来看还得再揣摩一下它的密码是怎样校检的。
这样的事情,一般是先精准定位到实行密码校检的一部分,随后分析分辨逻辑性。
精准定位的方式在这儿可以给 GetWindowText 和 SetWindowText 下中断点,这俩函数公式分别是获得密码文本框的具体内容和设定“密码不正确”的提醒。
根据2个函数公式的启用局部变量,向前倒算,实行密码校检的一部分迅速就能选定。
但是还没等我用上边的办法来分析,这一勒索软件真真正正让我裂开的地点发生了,我还在“密码不正确!”的提醒字符串数组边上,看到了此外一串标识符,跟 Administrator的密码一样,也是 asdfghjkl。
这会是个啥,我满怀试试看的心态,键入到了密码文本框,点一下明确,竟然惊喜一样的解除了锁住!30 元的敲诈勒索密码就是这样密文躺在报错的边上,你敢信?
这勒索软件也太菜了X3!
教你几大招
大破冲霄楼,懂技术性的人能看得出,这勒索软件做的的确名不副实,技术性一般也就而已,还有恃无恐的露出了自身。
但是,这手机软件菜归菜,如果是一般用户碰到了,还的确是件较为烦恼的事儿。
下面瑶光这儿详细介绍几大招,碰到了一般的勒索软件不要慌。
①安全模式
安全模式是 Windows 给予的一种运行方式,在这个方式下,一般的开机自启动程序都不容易实行,许多推动程序也不会载入,是一个相对性洁净的自然环境,你能进到这一自然环境下删掉病毒感染程序。
②U 盘进到
安全模式也不是全能的,有一些较为牛逼的程序,即使进入安全模式也会运作,这样的事情下就得独辟蹊径。
对于这类档次的侵入,可以选用像用 U 盘重装系统那般,应用 U 盘制做一个启动盘,改动 BIOS 中的正确引导项,应用 U 盘正确引导。
开机后,直接进入 U 盘里的 WinPE 自然环境,这是一个用以预组装的中小型系统软件,进到这一自然环境消除掉电脑硬盘上的勒索软件程序。
最好的结局,或是老调重弹了,关键的数据信息多备份,网盘、移动盘、计算机都存着,狡兔还三窟呢,解决勒索软件,备份数据才是硬道理!
创作者:瑶光之风
编写:陶家龙
来源:转载微信公众号技术编程宇宙空间(ID:xuanyuancoding)
