网站 › 『病毒分析区』 › 见过最辣鸡的勒索病毒

Yennfer_ 发表于 2020-3-19 13:53

见过最辣鸡的勒索病毒

刚在论坛看见个朋友在求救
https://www.52pojie.cn/thread-1134861-1-1.html
一时好奇，就下载下来看了看
样本很简单，加的壳都比这个程序本身难



## 简介

见过最辣鸡的勒索病毒

## 详细分析




先运行起来看一看

一点开就是一首日语歌愉悦的播放了起来，差点没给我送走，然后弹窗告诉你要关机了


几次确定之后，出现了一个勒索界面，老二次元了


这程序有个BUG，他的重启指令在这个弹窗完成之后，所以只要你不点弹窗框的确定，他就不会重启

查壳，是一个ZProtect的壳


这个壳我以前脱过，写在了自己的博客里面
https://www.weisblog.club/2019/12/13/ZProtect-1-4-9%E8%84%B1%E5%A3%B3/#ZProtect-%E8%84%B1%E5%A3%B3
脱壳之后，拉进IDA，直接Shift+F12查看字符串，就能看见修改的注册表、给新添加的系统账户和密码


程序运行之后，cmd、任务管理器、右键菜单失效等都是这里的注册表实现，但是启动所有程序都会变成打开图片，字符串这里没有，我也很好奇是怎么让应用程序变成图片打开的

在IDA中使用X查找交叉引用，找到引用了这些字符串的地方


得到压栈的地址 401297


MFC的程序在IDA中不好看
在OD中打开程序，在401297下断，F9运行断下


断下的时候瞬间闪了个黑框过去，那是因为前面的部分代码跑起来了，问题不大，只要他程序的Shutdown还没有跑就ok

call前面一行给ebx赋值了一个地址，这里很可疑


给这个地址下个断点，401AD0，再F9就命中了这个断点，再往下看


单步往下，进入call继续单步，可以看见Open注册表了



打开了HKEY_CLASSES_ROOT这个注册表下的.exe项


都打开了，接下来该是修改这个子项里的键值了

修改前


修改后


将.exe程序键值改为了jpegfile，所有的.exe程序都会被系统当成图片处理，所以在运行的时候就会变成图片打开

## 修复

写了几行代码，可以修复注册表，复制保存为.reg双击运行就可以了

```
REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

""="exefile"

"DisableCMD"=-
```

新加的账户和密码前面都有，去删了就行

vermao 发表于 2020-3-19 15:06

哇，他威胁我

涛之雨 发表于 2020-3-19 16:06

全都是注册表操作。。。
reg文件他不香么。。。。
还记得之前在学校，用bat转exe，把电脑里所有已注册的格式关联文件类型都改成(.四个空白字符)格式文件，然后这个(.四个空白字符)格式文件关联的是这个exe文件{:301_1001:}。。。。。
当然我留了一个后门（算是吧），留了一个.fucku的后缀是关联的格式reg格式（方便还原。。。。要不然只有用pe还原注册表了。。。。）
{:301_1004:}（当然，没有乱发。。。。如果发出来了估计我就真成了的头像了）
PS：当时360啥的都不查注册表

gmtty 发表于 2020-3-19 14:47

很符合病毒作者的性格

济南枫 发表于 2020-3-19 14:34

顺便问下 怎么过的360

袁煜914 发表于 2020-3-19 13:56

linfengtai2008 发表于 2020-3-19 14:00

好文，通俗易懂

vermao 发表于 2020-3-19 14:03

我已经加他qq了，这老二次元头像也很棒

一般通过首冲人 发表于 2020-3-19 14:10

二不起二不起{:301_997:}

滑溜溜的稽 发表于 2020-3-19 14:12

{:301_1008:}老二次元了

baimo 发表于 2020-3-19 14:13

{:1_921:}老二次元了

kof888 发表于 2020-3-19 14:19

老二 次元了，哈哈哈哈哈。

limit81995 发表于 2020-3-19 14:19

老二次元了{:301_997:}

不退伍的兵 发表于 2020-3-19 14:19

很幸运没遇见过！

查看完整版本: 见过最辣鸡的勒索病毒