[[391744]]

圖片來自 Pexels

又見勒索軟件

我正在悠閑的垂釣，一個讀者微信上緊急聯系我說，自己的電腦中了勒索病毒!

[[391745]] 

自從之前寫過一篇《挖礦病毒》的文章后，就收到過不少朋友的消息讓我幫忙處理，不過平時上班太忙，很難抽出功夫分析。

這次剛好是假期，就收了魚竿回去分析起來(其實是蹲了一下午，魚兒不給面子)。

不分析不知道，一分析把我裂開了，這是我見過最菜的勒索軟件了。

這位讀者把勒索程序發給了我，這是一個用易語言寫的程序，從名字上看起來好像是用來批量注冊 QQ 號的，還附帶了一個說明文檔：

 

好家伙，居然還騙使用者把安全軟件關掉，理由是容易被當病毒給關閉，這一波偽裝 666。

好啦，咱們在虛擬機里面執行一下這個程序看看：

 

一執行屏幕就黑了，全屏出現了上面這個界面。

引導語還很氣人：30 元解鎖，比你花幾百塊刷機強，挺囂張啊!

最神奇的是居然還留下了 QQ 聯系方式，這病毒制作者看來也是新手，就憑這 QQ 號，網警分分鐘就能找上門。

我沒有給這個 QQ 號打碼，因為我在 QQ 上搜了這個號碼，已經搜索不到了，不知是已經被端了，還是自己害怕了設置了不允許被搜索到。

接下來，我發現了一個很有意思的現象：我的虛擬機是在 macpro 上的 vmware fusion 上面，當我從虛擬機切到 Mac 系統的屏幕再切回去時發現，虛擬機中 Windows 的分辨率自動給我重置了。

這一重置不要緊，剛剛這個勒索軟件一下子只有半截了，露出了本來面目：原來就是一個全局置頂的窗口，還沒有跟隨系統分辨率的變化自動調整窗口大小，也是太菜了。

現在這問題就簡單了，直接調出任務管理器，把這貨的進程殺掉就行了!

 

不過考慮到我這是在 vmware fusion 虛擬機中，才自動調整分辨率，在真實的電腦上，中招的電腦上沒有機會調整分辨率，也沒法操作把任務管理器給調出來，所以還得看看有沒有其他破解之道。

我打算重啟后看看這家伙有沒有加入開機自啟動。

我重啟了虛擬機，發現這貨居然給我添加了 1 個 admin 用戶進去，還給我原來的默認用戶 Administrator 添加了密碼!!!

這下好了，真進不去了!

 

好了，接下來開始啟動分析，摸摸這勒索軟件的斤兩。

分析過程

我先把目標鎖定在了添加用戶這部分，因為得先能進入系統才好調試分析。

雖說這軟件是用易語言編寫，但實際上最終都是會調用 Win32 的一堆 API，所以我開始搜索程序的導入表中與用戶添加相關的 API：

 

搜尋了一圈發現這軟件并沒有是用上面的任何函數，那它是咋添加的用戶?

我改變了策略，它不是要添加用戶嗎，用戶不是叫 admin 嘛，那我搜索程序中有 admin 相關的字符串。

這一搜驚掉了我的下巴：

 

看來我太高估這個程序了，不用什么 Win32 API，直接調用 cmd 執行命令就行了。

而且，命令啥的這么重要的信息完全明文暴露，密碼也就真相大白了：

• admin: asdfghjkl
• Administrator: 69

admin 的密碼我好理解，就是鍵盤上 A 鍵開頭的那一排英文字母嘛，可這個 Administrator 的密碼為什么是 69，69 是什么意思?我到現在都沒想明白。

持著懷疑的態度，輸入上面的密碼，還真給進去了，這也太菜了X2~~

不過一進去，馬上又彈出了那個黑色的勒索界面，看來還真是加入了開機啟動項。

我隨意輸入了一些密碼，都是提示密碼錯誤，看來還得再琢磨一下它的密碼是如何校驗的。

 

這種情況，一般都是先定位到執行密碼校驗的部分，然后分析判斷邏輯。

定位的方法在這里可以給 GetWindowText 和 SetWindowText 下斷點，這倆函數分別是獲取密碼輸入框的內容和設置“密碼錯誤”的提示。

通過兩個函數的調用堆棧，往前倒推，執行密碼校驗的部分很快就能圈定。

不過還沒等我用上面的方法來分析，這個勒索軟件真正讓我裂開的地方出現了，我在“密碼錯誤!”的提示字符串旁邊，看到了另外一串字符，跟 Administrator的密碼一樣，也是 asdfghjkl。

 

這會是個啥，我懷著試試的態度，輸入到了密碼輸入框，點擊確定，居然奇跡般的解開了鎖定!30 元的勒索密碼就這樣明文躺在錯誤提示的旁邊，你敢信?

這勒索軟件也太菜了X3!

教你幾招

言歸正傳，懂技術的人能看出，這勒索軟件做的確實不入流，技術一般也就罷了，還明目張膽的暴露了自己。

不過，這軟件菜歸菜，如果是普通用戶遇到了，還確實是件比較頭疼的事情。

接下來軒轅這里介紹幾招，遇到了一般的勒索軟件不要慌。

①安全模式

安全模式是 Windows 提供的一種啟動模式，在這種模式下，普通的開機自啟動程序都不會執行，很多驅動程序也不會加載，是一個相對干凈的環境，你可以進入這個環境下刪除病毒程序。

 

②U 盤進入

安全模式也不是萬能的，有些比較厲害的程序，即使進入安全模式也會運行，這種情況下就得另辟蹊徑。

針對這種級別的入侵，可以選擇像用 U 盤安裝系統那樣，使用 U 盤制作一個啟動盤，修改 BIOS 中的引導項，使用 U 盤引導。

開機后，直接進入 U 盤中的 WinPE 環境，這是一個用于預安裝的小型系統，進入這個環境清除掉硬盤上的勒索軟件程序。

 

最后的最后，還是老生常談了，重要的數據多備份，云盤、移動硬盤、電腦都存著，狡兔還三窟呢，應對勒索軟件，備份才是王道!

作者：軒轅之風

編輯：陶家龍

出處：轉載自公眾號編程技術宇宙(ID：xuanyuancoding)