[[391744]]

圖片來(lái)自 Pexels

又見(jiàn)勒索軟件

我正在悠閑的垂釣，一個(gè)讀者微信上緊急聯(lián)系我說(shuō)，自己的電腦中了勒索病毒!

[[391745]] 

自從之前寫過(guò)一篇《挖礦病毒》的文章后，就收到過(guò)不少朋友的消息讓我?guī)兔μ幚恚贿^(guò)平時(shí)上班太忙，很難抽出功夫分析。

這次剛好是假期，就收了魚竿回去分析起來(lái)(其實(shí)是蹲了一下午，魚兒不給面子)。

不分析不知道，一分析把我裂開(kāi)了，這是我見(jiàn)過(guò)最菜的勒索軟件了。

這位讀者把勒索程序發(fā)給了我，這是一個(gè)用易語(yǔ)言寫的程序，從名字上看起來(lái)好像是用來(lái)批量注冊(cè) QQ 號(hào)的，還附帶了一個(gè)說(shuō)明文檔：

 

好家伙，居然還騙使用者把安全軟件關(guān)掉，理由是容易被當(dāng)病毒給關(guān)閉，這一波偽裝 666。

好啦，咱們?cè)谔摂M機(jī)里面執(zhí)行一下這個(gè)程序看看：

 

一執(zhí)行屏幕就黑了，全屏出現(xiàn)了上面這個(gè)界面。

引導(dǎo)語(yǔ)還很氣人：30 元解鎖，比你花幾百塊刷機(jī)強(qiáng)，挺囂張啊!

最神奇的是居然還留下了 QQ 聯(lián)系方式，這病毒制作者看來(lái)也是新手，就憑這 QQ 號(hào)，網(wǎng)警分分鐘就能找上門。

我沒(méi)有給這個(gè) QQ 號(hào)打碼，因?yàn)槲以?QQ 上搜了這個(gè)號(hào)碼，已經(jīng)搜索不到了，不知是已經(jīng)被端了，還是自己害怕了設(shè)置了不允許被搜索到。

接下來(lái)，我發(fā)現(xiàn)了一個(gè)很有意思的現(xiàn)象：我的虛擬機(jī)是在 macpro 上的 vmware fusion 上面，當(dāng)我從虛擬機(jī)切到 Mac 系統(tǒng)的屏幕再切回去時(shí)發(fā)現(xiàn)，虛擬機(jī)中 Windows 的分辨率自動(dòng)給我重置了。

這一重置不要緊，剛剛這個(gè)勒索軟件一下子只有半截了，露出了本來(lái)面目：原來(lái)就是一個(gè)全局置頂?shù)拇翱冢€沒(méi)有跟隨系統(tǒng)分辨率的變化自動(dòng)調(diào)整窗口大小，也是太菜了。

現(xiàn)在這問(wèn)題就簡(jiǎn)單了，直接調(diào)出任務(wù)管理器，把這貨的進(jìn)程殺掉就行了!

 

不過(guò)考慮到我這是在 vmware fusion 虛擬機(jī)中，才自動(dòng)調(diào)整分辨率，在真實(shí)的電腦上，中招的電腦上沒(méi)有機(jī)會(huì)調(diào)整分辨率，也沒(méi)法操作把任務(wù)管理器給調(diào)出來(lái)，所以還得看看有沒(méi)有其他破解之道。

我打算重啟后看看這家伙有沒(méi)有加入開(kāi)機(jī)自啟動(dòng)。

我重啟了虛擬機(jī)，發(fā)現(xiàn)這貨居然給我添加了 1 個(gè) admin 用戶進(jìn)去，還給我原來(lái)的默認(rèn)用戶 Administrator 添加了密碼!!!

這下好了，真進(jìn)不去了!

 

好了，接下來(lái)開(kāi)始啟動(dòng)分析，摸摸這勒索軟件的斤兩。

分析過(guò)程

我先把目標(biāo)鎖定在了添加用戶這部分，因?yàn)榈孟饶苓M(jìn)入系統(tǒng)才好調(diào)試分析。

雖說(shuō)這軟件是用易語(yǔ)言編寫，但實(shí)際上最終都是會(huì)調(diào)用 Win32 的一堆 API，所以我開(kāi)始搜索程序的導(dǎo)入表中與用戶添加相關(guān)的 API：

 

搜尋了一圈發(fā)現(xiàn)這軟件并沒(méi)有是用上面的任何函數(shù)，那它是咋添加的用戶?

我改變了策略，它不是要添加用戶嗎，用戶不是叫 admin 嘛，那我搜索程序中有 admin 相關(guān)的字符串。

這一搜驚掉了我的下巴：

 

看來(lái)我太高估這個(gè)程序了，不用什么 Win32 API，直接調(diào)用 cmd 執(zhí)行命令就行了。

而且，命令啥的這么重要的信息完全明文暴露，密碼也就真相大白了：

• admin: asdfghjkl
• Administrator: 69

admin 的密碼我好理解，就是鍵盤上 A 鍵開(kāi)頭的那一排英文字母嘛，可這個(gè) Administrator 的密碼為什么是 69，69 是什么意思?我到現(xiàn)在都沒(méi)想明白。

持著懷疑的態(tài)度，輸入上面的密碼，還真給進(jìn)去了，這也太菜了X2~~

不過(guò)一進(jìn)去，馬上又彈出了那個(gè)黑色的勒索界面，看來(lái)還真是加入了開(kāi)機(jī)啟動(dòng)項(xiàng)。

我隨意輸入了一些密碼，都是提示密碼錯(cuò)誤，看來(lái)還得再琢磨一下它的密碼是如何校驗(yàn)的。

 

這種情況，一般都是先定位到執(zhí)行密碼校驗(yàn)的部分，然后分析判斷邏輯。

定位的方法在這里可以給 GetWindowText 和 SetWindowText 下斷點(diǎn)，這倆函數(shù)分別是獲取密碼輸入框的內(nèi)容和設(shè)置“密碼錯(cuò)誤”的提示。

通過(guò)兩個(gè)函數(shù)的調(diào)用堆棧，往前倒推，執(zhí)行密碼校驗(yàn)的部分很快就能圈定。

不過(guò)還沒(méi)等我用上面的方法來(lái)分析，這個(gè)勒索軟件真正讓我裂開(kāi)的地方出現(xiàn)了，我在“密碼錯(cuò)誤!”的提示字符串旁邊，看到了另外一串字符，跟 Administrator的密碼一樣，也是 asdfghjkl。

 

這會(huì)是個(gè)啥，我懷著試試的態(tài)度，輸入到了密碼輸入框，點(diǎn)擊確定，居然奇跡般的解開(kāi)了鎖定!30 元的勒索密碼就這樣明文躺在錯(cuò)誤提示的旁邊，你敢信?

這勒索軟件也太菜了X3!

教你幾招

言歸正傳，懂技術(shù)的人能看出，這勒索軟件做的確實(shí)不入流，技術(shù)一般也就罷了，還明目張膽的暴露了自己。

不過(guò)，這軟件菜歸菜，如果是普通用戶遇到了，還確實(shí)是件比較頭疼的事情。

接下來(lái)軒轅這里介紹幾招，遇到了一般的勒索軟件不要慌。

①安全模式

安全模式是 Windows 提供的一種啟動(dòng)模式，在這種模式下，普通的開(kāi)機(jī)自啟動(dòng)程序都不會(huì)執(zhí)行，很多驅(qū)動(dòng)程序也不會(huì)加載，是一個(gè)相對(duì)干凈的環(huán)境，你可以進(jìn)入這個(gè)環(huán)境下刪除病毒程序。

 

②U 盤進(jìn)入

安全模式也不是萬(wàn)能的，有些比較厲害的程序，即使進(jìn)入安全模式也會(huì)運(yùn)行，這種情況下就得另辟蹊徑。

針對(duì)這種級(jí)別的入侵，可以選擇像用 U 盤安裝系統(tǒng)那樣，使用 U 盤制作一個(gè)啟動(dòng)盤，修改 BIOS 中的引導(dǎo)項(xiàng)，使用 U 盤引導(dǎo)。

開(kāi)機(jī)后，直接進(jìn)入 U 盤中的 WinPE 環(huán)境，這是一個(gè)用于預(yù)安裝的小型系統(tǒng)，進(jìn)入這個(gè)環(huán)境清除掉硬盤上的勒索軟件程序。

 

最后的最后，還是老生常談了，重要的數(shù)據(jù)多備份，云盤、移動(dòng)硬盤、電腦都存著，狡兔還三窟呢，應(yīng)對(duì)勒索軟件，備份才是王道!

作者：軒轅之風(fēng)

編輯：陶家龍

出處：轉(zhuǎn)載自公眾號(hào)編程技術(shù)宇宙(ID：xuanyuancoding)