哈哈哈,这个勒索软件笑死我了!太菜了~
又见勒索软件
前段时间忙坏了,清明假期在农村老家放松了几天。
我正在悠闲的垂钓,一个读者微信上紧急联系我说,自己的电脑中了勒索病毒!
之前就收到过不少朋友的消息让我帮忙处理,不过平时上班太忙,很难抽出功夫分析。这次刚好是假期,就收了鱼竿回去分析起来(其实是蹲了一下午,鱼儿不给面子)。
不分析不知道,一分析把我裂开了,这是我见过最菜的勒索软件了。
这位读者把勒索程序发给了我,这是一个用易语言写的程序,从名字上看起来好像是用来批量注册QQ号的,还附带了一个说明文档:
好家伙,居然还骗使用者把安全软件关掉,理由是容易被当病毒给关闭,这一波伪装666。
好啦,咱们在虚拟机里面执行一下这个程序看看:
一执行屏幕就黑了,全屏出现了上面这个界面。
引导语还很气人:30元解锁,比你花几百块刷机强,挺嚣张啊!
最神奇的是居然还留下了QQ联系方式,这病毒制作者看来也是新手,就凭这QQ号,网警分分钟就能找上门。
我没有给这个QQ号打码,因为我在QQ上搜了这个号码,已经搜索不到了,不知是已经被端了,还是自己害怕了设置了不允许被搜索到。
接下来,我发现了一个很有意思的现象:我的虚拟机是在macpro上的vmware fusion上面,当我从虚拟机切到Mac系统的屏幕再切回去时发现,虚拟机中Windows的分辨率自动给我重置了。
这一重置不要紧,刚刚这个勒索软件一下子只有半截了,露出了本来面目:原来就是一个全局置顶的窗口,还没有跟随系统分辨率的变化自动调整窗口大小,也是太菜了。
现在这问题就简单了,直接调出任务管理器,把这货的进程杀掉就行了!
不过考虑到我这是在vmware fusion虚拟机中,才自动调整分辨率,在真实的电脑上,中招的电脑上没有机会调整分辨率,也没法操作把任务管理器给调出来,所以还得看看有没有其他破解之道。
我打算重启后看看这家伙有没有加入开机自启动。
我重启了虚拟机,发现这货居然给我添加了1个admin用户进去,还给我原来的默认用户Administrator添加了密码!!!
这下好了,真进不去了!
好了,接下来开始启动分析,摸摸这勒索软件的斤两。
分析过程
我先把目标锁定在了添加用户这部分,因为得先能进入系统才好调试分析。虽说这软件是用易语言编写,但实际上最终都是会调用Win32的一堆API,所以我开始搜索程序的导入表中与用户添加相关的API:
搜寻了一圈发现这软件并没有用上面的任何函数,那它是咋添加的用户?
我改变了策略,它不是要添加用户吗,用户不是叫admin嘛,那我搜索程序中有admin相关的字符串。这一搜惊掉了我的下巴:
看来我太高估这个程序了,不用什么Win32 API,直接调用cmd执行命令就行了。
而且,命令啥的这么重要的信息完全明文暴露,密码也就真相大白了:
admin: asdfghjkl
Administrator: 69
admin的密码我好理解,就是键盘上A键开头的那一排英文字母嘛,可这个Administrator的密码为什么是69,69是什么意思?我到现在都没想明白。
持着怀疑的态度,输入上面的密码,还真给进去了,这也太菜了X2~~
不过一进去,马上又弹出了那个黑色的勒索界面,看来还真是加入了开机启动项。
我随意输入了一些密码,都是提示密码错误,看来还得再琢磨一下它的密码是如何校验的。
这种情况,一般都是先定位到执行密码校验的部分,然后分析判断逻辑。
定位的方法在这里可以给GetWindowText和SetWindowText下断点,这俩函数分别是获取密码输入框的内容和设置“密码错误”的提示。
通过两个函数的调用堆栈,往前倒推,执行密码校验的部分很快就能圈定。
不过还没等我用上面的方法来分析,这个勒索软件真正让我裂开的地方出现了,我在“密码错误!”的提示字符串旁边,看到了另外一串字符,跟Administrator的密码一样,也是asdfghjkl。
这会是个啥,我怀着试试的态度,输入到了密码输入框,点击确定,居然奇迹般的解开了锁定!30元的勒索密码就这样明文躺在错误提示的旁边,你敢信?
这勒索软件也太菜了X3!
教你几招
言归正传,懂技术的人能看出,这勒索软件做的确实不入流,技术一般也就罢了,还明目张胆的暴露了自己。不过,这软件菜归菜,如果是普通用户遇到了,还确实是件比较头疼的事情。
接下来pk哥介绍几招,遇到了一般的勒索软件不要慌。
安全模式
安全模式是Windows提供的一种启动模式,在这种模式下,普通的开机自启动程序都不会执行,很多驱动程序也不会加载,是一个相对干净的环境,你可以进入这个环境下删除病毒程序。
U盘进入
安全模式也不是万能的,有些比较厉害的程序,即使进入安全模式也会运行,这种情况下就得另辟蹊径。
针对这种级别的入侵,可以选择像用U盘安装系统那样,使用U盘制作一个启动盘,修改BIOS中的引导项,使用U盘引导。
开机后,直接进入U盘中的WinPE环境,这是一个用于预安装的小型系统,进入这个环境清除掉硬盘上的勒索软件程序。
最后的最后,还是老生常谈了,重要的数据多备份,云盘、移动硬盘、电脑都存着,狡兔还三窟呢,应对勒索软件,备份才是王道!
在这里还是要推荐下我自己建的Python学习Q群:705933274,群里都是学Python的,如果你想学或者正在学习Python ,欢迎你加入,大家都是软件开发党,不定期分享干货(只有Python软件开发相关的),包括我自己整理的一份2021最新的Python进阶资料和零基础教学,欢迎进阶中和对Python感兴趣的小伙伴加入!
哈哈哈,这个勒索软件笑死我了!太菜了~相关推荐
- php 微信相亲截图,跟相亲对象的尬聊截图,笑死了哈哈哈哈哈哈哈哈哈哈哈哈...
原标题:跟相亲对象的尬聊截图,笑死了哈哈哈哈哈哈哈哈哈哈哈哈 来源:微博搞笑排行榜 今天是520, 有人问禅小团, 520是什么意思, 禅小团笑了. 再次给大家普及一下: 如此有意义的520, 怎么就 ...
- 医疗机构被勒索软件攻击的可能性是金融机构的114倍
Soulutionary发布的一份新的研究报告指出,医疗机构被勒索软件攻击的可能性是金融机构的114倍,教育机构的21倍. 威胁情报分析师Terrance DeJesus称,这家位于奥马哈的安全公司检 ...
- Vidar和GandCrab:信息窃取病毒和勒索软件的强强联手
网络安全公司Malwarebytes在上周五(1月4日)发表的一篇博文中指出,在过去的几周里,他们一直在追踪一起多产的恶意广告活动,并捕获了多种payload(有效载荷),包括几个信息窃取病毒.其中, ...
- 卑鄙者的墓志铭:REvil勒索软件罪魁首次被锁定
俗话说"法网恢恢疏而不漏",但法网似乎与如今的线上犯罪网络难以交织.作为密码学技术无心插柳的果实,勒索软件近年横扫互联网,使得下至小白网民上至各国政府无不闻风丧胆.在对受害者系统和 ...
- 不同部门员工吃饭时聊些什么,程序员那一段笑死我了…
不同部门员工吃饭时聊些什么,程序员那一段笑死我了- 分类 程序员笑话 身为程序员,大家和同事吃饭的时候喜欢聊天吗?大家又在聊些什么呢?有没有想过,你们聊天的内容已经暴露了自己的职业哦. (一) 甲:你 ...
- 唐人码输入法破解版,笑死我了
单位一老同志需要用唐人码,可是TMD正版只能用5次,还要用软盘,不会安装,我说到网上给下个破解版吧, 找了半天,居然没有免费的,到时有几个叫卖硬盘版,宣称不要软盘,一机任意安装多次,还有一个地址可以下 ...
- 基于异常行为的未知勒索软件检测
目录 1. 创建诱饵文件 2. 应用层监控文件加密操作 a. 应用层文件系统监控 b. 进程拦截 *本文作者:高渐离 ultrain @墨攻安全实验室,本文属 FreeBuf 原创奖励计划,未经许可禁 ...
- 免费的是最贵的:打车软件坑死出租车
首页 > IT资讯 > 评论 免费的是最贵的:打车软件坑死出租车 IT之家(www.ithome.com):免费的是最贵的:打车软件坑死出租车 公元2014年11月27日,杭州. 城市交通 ...
- 新勒索软件DynA-Crypt不仅要加密你的文件,而且窃取并删除它们
本文讲的是新勒索软件DynA-Crypt不仅要加密你的文件,而且窃取并删除它们, 一个名为DynA-Crypt的新勒索软件被GData公司的恶意软件分析师Karsten Hahn发现,DynA-Cry ...
- 勒索软件层出不穷,Veeam “3-2-1-1-0”助力构建数据防护
随着 AI.IoT.云原生等前沿技术的发展,近年来勒索病毒的攻击手段不断升级,赎金也越来越高:例如今年美国最大燃油管道受攻击导致美国17个州和华盛顿特区进入紧急状态,2020 年 Ripple20 0 ...
最新文章
- NeurIPS 2019截稿期服务器被挤爆,投稿数增长40%创历史新高
- 《JAVA与模式》之访问者模式
- DL之IDE:深度学习之计算机视觉开发环境搭建的详细流程(Ubuntu16.04+cuda9.0+cuDNN7.4.2+tensorflow_gpu)
- 将文件从HDFS复制到本地
- java 大小写转换函数_不使用Java中的任何库函数将大写转换为小写
- 提高篇 第一部分 基础算法 第4章 广搜的优化技巧
- 头文件malloc.h:函数 mallopt()的选项
- python密码编程_Python密码学编程
- vue学习笔记-11-自定义指令
- windows 通过公匙SSH到其他服务器
- Nginx面试题及基础
- 关于cknife与burpsuite对java的版本需求的冲突机器解决办法
- Linux编译安装PHP7.4.24及启动
- 初步分析AxProtector V6.40.226.200Dotnet加壳与脱壳
- c语言实现fft原理,新手小白一看就会,FFT算法的原理详解
- 《全基因组测序WGS数据分析——1.DNA测序技术》
- Win7常见问题和技巧整
- python将后宫佳丽三千做成照片墙
- 彻底解决Qt中文乱码
- “牌面”养成记4:阅读顺序,工具,以及小成果