吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 34163|回复: 325
收起左侧

[PC样本分析] 见过最辣鸡的勒索病毒

    [复制链接]
Yennfer_ 发表于 2020-3-19 13:53
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

刚在论坛看见个朋友在求救
https://www.52pojie.cn/thread-1134861-1-1.html
一时好奇,就下载下来看了看
样本很简单,加的壳都比这个程序本身难

简介

见过最辣鸡的勒索病毒

详细分析

先运行起来看一看

一点开就是一首日语歌愉悦的播放了起来,差点没给我送走,然后弹窗告诉你要关机了

几次确定之后,出现了一个勒索界面,老二次元了

这程序有个BUG,他的重启指令在这个弹窗完成之后,所以只要你不点弹窗框的确定,他就不会重启

查壳,是一个ZProtect的壳

这个壳我以前脱过,写在了自己的博客里面
https://www.weisblog.club/2019/12/13/ZProtect-1-4-9%E8%84%B1%E5%A3%B3/#ZProtect-%E8%84%B1%E5%A3%B3
脱壳之后,拉进IDA,直接Shift+F12查看字符串,就能看见修改的注册表、给新添加的系统账户和密码

程序运行之后,cmd、任务管理器、右键菜单失效等都是这里的注册表实现,但是启动所有程序都会变成打开图片,字符串这里没有,我也很好奇是怎么让应用程序变成图片打开的

在IDA中使用X查找交叉引用,找到引用了这些字符串的地方

得到压栈的地址 401297

MFC的程序在IDA中不好看
在OD中打开程序,在401297下断,F9运行断下

断下的时候瞬间闪了个黑框过去,那是因为前面的部分代码跑起来了,问题不大,只要他程序的Shutdown还没有跑就ok

call前面一行给ebx赋值了一个地址,这里很可疑

给这个地址下个断点,401AD0,再F9就命中了这个断点,再往下看

单步往下,进入call继续单步,可以看见Open注册表了

打开了HKEY_CLASSES_ROOT这个注册表下的.exe项

都打开了,接下来该是修改这个子项里的键值了

修改前

修改后

将.exe程序键值改为了jpegfile,所有的.exe程序都会被系统当成图片处理,所以在运行的时候就会变成图片打开

修复

写了几行代码,可以修复注册表,复制保存为.reg双击运行就可以了

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[HKEY_CLASSES_ROOT\.exe]
""="exefile"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=-

新加的账户和密码前面都有,去删了就行

免费评分

参与人数 200吾爱币 +177 热心值 +180 收起 理由
DaRkshawn + 1 + 1 谢谢@Thanks!
billp + 1 用心讨论,共获提升!
923042857 + 1 我很赞同!
lixingcong + 1 + 1 我很赞同!
gongfpp + 1 热心回复!
腿毛哥 + 1 用心讨论,共获提升!
花儿与少年 + 1 + 1 用心讨论,共获提升!
falan + 1 老二次元了
wodeweiyimpm + 1 我很赞同!
plj529 + 1 + 1 谢谢@Thanks!
笙若 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
醉舞春风 + 1 + 1 用心讨论,共获提升!
liu84620 + 1 + 1 长姿势了。
xiaowang98 + 1 + 1 我很赞同!
函数33 + 1 鼓励转贴优秀软件安全工具和文档!
ps214 + 1 谢谢@Thanks!
ihusr + 1 我很赞同!
magicbowl + 1 + 1 大佬,请收下我的膝盖
我若化成风 + 1 热心回复!
少年1230 + 1 我很赞同!
小白白爱吃糖 + 1 + 1 谢谢@Thanks!
Luke01 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
qwerasdzx + 1 用心讨论,共获提升!
愤怒阿昌 + 1 + 1 我很赞同!
亲情这一家 + 1 我很赞同!
极品菜雀 + 1 + 1 谢谢@Thanks!
请叫我红领巾。 + 1 + 1 谢谢@Thanks!
LynnGarcia + 1 + 1 我很赞同!
dingyx99 + 1 + 1 用心讨论,共获提升!
bian96 + 1 我很赞同!
xylqr + 1 + 1 谢谢@Thanks!
crq2269 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
iBristlecone + 1 + 1 哈哈哈厉害了
不可 + 1 + 1 热心回复!
lyj17335671675 + 1 大佬,爱了爱了
Conquest + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
wwbzmt + 1 + 1 鼓励转贴优秀软件安全工具和文档!
玩玩而已乂 + 1 + 1 我很赞同!
莫愁前路无知己 + 1 + 1 热心回复!
森罗千引 + 1 + 1 热心回复!
yosi2009 + 1 + 1 膜拜大神
天火招来 + 1 + 1 用心讨论,共获提升!
寻三钱 + 1 用心讨论,共获提升!
SUCE222 + 1 用心讨论,共获提升!
liyonghaod + 1 + 1 我很赞同!
zerzul + 1 + 1 热心回复!
LTyiner + 1 用心讨论,共获提升!
qiang1360 + 1 + 1 我很赞同!
mhaitao + 1 + 1 我很赞同!
as614001 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
ssssaas + 1 我很赞同!
静叶流云 + 1 + 1 我很赞同!
吾爱Po解啊 + 1 + 1 我很赞同!
钟小原 + 1 + 1 用心讨论,共获提升!
lishixin23 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Mr.Cedric + 1 我很赞同!
SoftKiller + 1 妙啊
一秒钟绿巨人 + 1 + 1 热心回复!
拼图达人 + 1 + 1 用心讨论,共获提升!
rainbo56 + 1 + 1 我很赞同!
foxcelles + 1 + 1 热心回复!
TFshopte + 1 + 1 二次元
builder999 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
shufang + 1 + 1 用心讨论,共获提升!
儒雅随和唐傲天 + 1 + 1 我很赞同!
fenz + 1 + 1 蛤蛤蛤,我要康老二刺螈的图片
zhjgood + 1 + 1 谢谢@Thanks!
电热壶 + 1 二次元哒哒哒哒哒
yxjesj + 1 热心回复!
tonyxiong + 1 为啥不加他QQ,聊聊人生呢?
dongmie + 1 + 1 鼓励转贴优秀软件安全工具和文档!
y资源党 + 1 + 1 二次元会有这种人....
gameyw + 1 + 1 谢谢@Thanks!
gsy951255843 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
e5500236 + 1 我很赞同!
反反复复发 + 1 + 1 我很赞同!
名字毫无意义 + 1 谢谢@Thanks!
gzwking + 1 + 1 用心讨论,共获提升!
shacif + 1 + 1 新人膜拜路过
leo5100 + 1 + 1 热心回复!
会吼的儒 + 1 + 1 用心讨论,共获提升!
guoguanggyu + 1 用心讨论,共获提升!
花生小奈 + 1 热心回复!
在线小学生 + 1 + 1 大佬,流批!
Pandolar + 1 + 1 用心讨论,共获提升!
江离 + 1 + 1 谢谢@Thanks!
幸运小星 + 1 + 1 热心回复!
腾龙细雨 + 1 + 1 不会是一个小学生的项目吧
137029187 + 1 热心回复!
既草日月又日天 + 1 + 1 老二刺螈笑死
一只巨虫 + 1 + 1 热心回复!
Regon + 1 + 1 可以报警吗?
a115599663322 + 1 + 1 用心讨论,共获提升!
xxxXxxx123 + 1 + 1 老二次元了
HH5Z5Y5 + 1 + 1 我很赞同!
天天404 + 1 + 1 老二次元了
lovekin + 1 + 1 谢谢@Thanks!
siuhoapdou + 1 + 1 用心讨论,共获提升!
benzener01 + 1 + 1 我很赞同!
夜降临Forever + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

vermao 发表于 2020-3-19 15:06
哇,他威胁我 QQ截图20200319150513.png
涛之雨 发表于 2020-3-19 16:06
全都是注册表操作。。。
reg文件他不香么。。。。
还记得之前在学校,用bat转exe,把电脑里所有已注册的格式关联文件类型都改成(.四个空白字符)格式文件,然后这个(.四个空白字符)格式文件关联的是这个exe文件。。。。。
当然我留了一个后门(算是吧),留了一个.fucku的后缀是关联的格式reg格式(方便还原。。。。要不然只有用pe还原注册表了。。。。)
(当然,没有乱发。。。。如果发出来了估计我就真成了的头像了)
PS:当时360啥的都不查注册表
gmtty 发表于 2020-3-19 14:47
济南枫 发表于 2020-3-19 14:34
顺便问下 怎么过的360
头像被屏蔽
袁煜914 发表于 2020-3-19 13:56
提示: 作者被禁止或删除 内容自动屏蔽
linfengtai2008 发表于 2020-3-19 14:00
好文,通俗易懂
vermao 发表于 2020-3-19 14:03
我已经加他qq了,这老二次元头像也很棒
一般通过首冲人 发表于 2020-3-19 14:10
二不起二不起
滑溜溜的稽 发表于 2020-3-19 14:12
老二次元了
baimo 发表于 2020-3-19 14:13
老二次元了
kof888 发表于 2020-3-19 14:19
老二 次元了,哈哈哈哈哈。

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
zhangshaohua + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

limit81995 发表于 2020-3-19 14:19
老二次元了
不退伍的兵 发表于 2020-3-19 14:19
很幸运没遇见过!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:56

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表