一锁机病毒样本分析
我从卡饭论坛听闻次元盒论坛有伪装成破解版百度网盘传播的锁机病毒而且传播范围极广
本篇将对其进行分析,采用https://cyhe.org/thread-32695-1-1.html此样本(本篇暂不采用反编译、反编汇,只看行为)
首先,我们先去在线多引擎平台Virustotal一探究竟
我们看到该样本报毒率极高,并且有杀软给出了MBRlocker、rootkit、Ransom等的报毒名
其次,我们去在线沙箱微步云沙箱平台一探究竟,果然发现了新大陆
基本可确定为MBRlocker病毒,请注意看底下红括号内部分的内容“ QQ 2531755086 a lock!!!Please enter the unlock password”,我们来翻译一下:QQ 2531755086 有锁!!!请输入解锁密码……
对其QQ,进行查询后,我们发现,病毒制作者有多个QQ账号,并且挑衅受害者说一个QQ号只要几分钱
已知病毒作者QQ号有:2531755086、1704834969、2250879899、2531755086、3132680598、2182892504等
未完待续 样本下载地址https://wwe.lanzoui.com/i9q1api9ueb
样本传播网址https://cyhe.org/forum.php?mod=viewthread&tid=32695&highlight 1.病毒作者发出来的手机号均为受害者手机号https://cyhe.org/thread-30114-1-5.html
2.之前版本病毒的解锁密码https://cyhe.org/thread-29136-1-1.html(暂不知最新版本是否有变化),解锁密码存在进制字符,小白用户想解锁非常地难搞 兄弟们,未完待续啊 下一篇估计有点儿困难,运行火绒剑看行为的时候,一不小心中招了{:301_1008:} JuncoJet 发表于 2021-7-7 10:02
楼主这叫试毒= =#以身试毒
差点儿又没了,不过火绒剑数据又丢了…… 好家伙,怪不得火绒剑数据全丢了,这玩意儿修改mbr一旦被拦截就会出现蓝屏…… 病毒作者出言不逊(这个是170开头那个qq号) 加他qq得小心了,他能查到你的qq所绑定的手机号 ahov 发表于 2021-7-7 11:22
加他qq得小心了,他能查到你的qq所绑定的手机号
基本操作,小学生都能干得到。先用安全中心反查你手机号的前几位和后几位,然后用qq邮箱看看能不能查到你支付宝账号,查得到的话就看下你是哪个地方的,顺便再看下你手机号前几位和后几位。由于手机号前三位是运营商识别码,4-7位是地区编码,所以知道你是哪个地方的人以后就可以进行排除。运气好的话可以直接把可能性降低到几百个号码。然后把所有的可能性列成表格,全部加到虚拟机的通讯录里,在虚拟机上登录qq,然后选择添加通讯录里的好友,慢慢翻,翻到你的qq号以后就可以知道你的手机号了 这分析难点应该是创建新进程的路径,迷惑了!
修改后的MBR
下断获取到有创建新进程(此处路径迷惑了我,一直以为在桌面上)
修改生成MBR锁显示信息和密码 最好能分析出解锁密码。 感谢楼主的分析,坐等更新{:1_927:} 楼主好厉害 感谢楼主的分享 应该常规杀软能预警处理吧,不过期待楼主早出解密方案。 没想到还有人玩锁机的,不明白这样能搞多少钱?为了这点钱犯罪值得吗? 搞错板块了吧,这不算样本分析。