吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 108658|回复: 387
上一主题 下一主题
收起左侧

BanID:TheYuCheng【发布辅助捆绑勒索木马】

    [复制链接]
跳转到指定楼层
楼主
LCG 发表于 2017-12-15 18:36 回帖奖励
BanID:TheYuCheng【发布辅助捆绑勒索木马】



下午收到版主@L4Nce 反馈,TheYuCheng刚发布的程序有问题,就查看分析了一下,发现程序捆绑了勒索软件,将放木马作者帐号进行封号处理,如果有下载使用过这个程序的同学千万不要关机,先杀木马再关机,原因后面分析说.

一:木马行为
辅助和木马都是易语言写的,逻辑很简单,先判断是否有zhudongfangyu.exe进程(判断是否有360启动),如果没有这个进程就释放木马到%temp%\pdf_confidential.pdf.pif这里。


然后会处理UAC,再把释放的木马添加到启动项中,所以木马会随着下次机器启动的时候才发作。

辅助运行和木马释放截图:


中毒后的截图:


我们通过释放的勒索木马发现这个木马作者是个惯犯,已经多次作案,国内外已经有多个详细分析,就不写勒索感染细节,有兴趣的同学可以自行分析一下,也可以直接搜索查看一些报道分析:
https://www.pcrisk.com/removal-guides/11958-wantmoney-ransomware
https://www.toutiao.com/i6485619692684706317/

木马下载地址以及2个相关文件MD5:
hxxps://pan.baidu.com/s/1sl5cI7N
C0F510B6CF65D8196C8D750AB196702F
3F60F20715766CD0ABD8967FB9258CBF

二:查杀木马
1、直接删除“%temp%\pdf_confidential.pdf.pif”这个木马文件,由于后缀是pif,windows上可能不会显示后缀,直接打开%temp%目录,然后找到pdf_confidential.pdf这个显示直接删除就可以了。
2、删除木马启动项即可。

简单的办法直接装个杀毒软件全盘杀一下就行了,比如360或者QQ管家。

注意:虽然帖子刚发布后很快就被审查封号了,但应该还是有会员看到了,由于木马是重启发作,所以如果有同学运行过这个程序,千万别重启电脑,先杀毒!!!先杀毒!!!先杀毒!!!重要的事情说三遍。


三:后话
虽然论坛有很多高手,但我们希望提高所有人的安全意识和识别能力,看上述我的分析是不是很简单,简单的代码和行为分析就能判断出木马,我想这你也可以做到,不如来试试。

大家对于新注册会员发布的内容请多加注意,有能力分析出问题的可以帮助我们尽快举报,大家合力保卫论坛安全。

想对那些涂怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作就是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!

最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!

点评

我用电脑管家就不会中毒了吧?  发表于 2018-3-1 14:49
欢迎分析讨论交流,吾爱破解论坛有你更精彩!  发表于 2017-12-18 13:34
不说打击发布辅助外挂等帖子吗?仍有继续发的!管理力度应该加大,同时也要靠会员举报,屏蔽敏感词汇最号是现在发布一个2017年最后警告帖。2018年开始 只要发布就封ID。不杀鸡哪有猴看~  发表于 2017-12-17 11:19
管理辛苦了 这种人真的该抓起来 他这样做 不就和之前那什么比特币病毒作者一样么 还有今天我还发现有些人使用另类方法推广这些 大家都小心点  发表于 2017-12-17 00:11
又是这个Xiaoba,之前多次在贴吧发布捆绑木马软件,在贴吧被大神怼过,又来52撒野了  发表于 2017-12-16 16:17
所有人提高安全意识和识别能力是必须的,但是更重要的是不要抱着侥幸心理,相信什么外挂、免liu等软件.此类情况52不在少数,对于小白,最好的办法是不要用,再小心也会翻船。  发表于 2017-12-16 14:23
幸好,喜欢自己动手。如果凉了我的一百多G的爱情片怎么办,  发表于 2017-12-16 05:58
难者不会,会者不难,如何下手,从哪里开始分析,虽然论坛里有文章,还是不太清楚从哪里入手,还是来些视频教程讲详细些吧。让论坛的人都学习一下。  发表于 2017-12-15 23:09

免费评分

参与人数 269吾爱币 +257 热心值 +259 收起 理由
caifeng + 1 + 1 谢谢@Thanks!
wuaiw + 1 + 1 我很赞同!
平湖秋柯 + 1 + 1 谢谢@Thanks!
阿森吖 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
a2563626 + 1 + 1 我很赞同!
sxgcb + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Hotspur + 1 + 1 我很赞同!
hnyzq + 1 我很赞同!
丶情微 + 1 + 1 谢谢@Thanks!
啊常用户 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
开枪为你送行 + 1 + 1 热心回复!
朱雄 + 1 我很赞同!
小熊孩 + 1 + 1 我很赞同!
nor七猫 + 1 + 1 用心讨论,共获提升!
savin + 1 + 1 谢谢@Thanks!
liujing521 + 1 + 1 我很赞同!
wscya3344 + 1 + 1 谢谢@Thanks!感谢大佬
vaguem + 1 要我说,这作者干得好,麻痹让你们这些挂壁开挂,哈哈哈
ganlihan34 + 1 + 1 我很赞同!
Alien_MWB + 1 + 1 我很赞同!
yunnl + 1 + 1 我很赞同!
luwenkuo + 1 + 1 谢谢@Thanks!
346972714 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
东方不可爱 + 1 + 1 谢谢@Thanks!
ly879924402 + 1 我很赞同!
zhu52760073 + 1 + 1 用心讨论,共获提升!
Seper + 1 + 1 我很赞同!
王娜娜 + 1 + 1 谢谢@Thanks!
mosthunger + 1 + 1 我很赞同!
旧情劫丶 + 1 + 1 谢谢@Thanks!
Ossian + 1 + 1 我很赞同!
小泡泡娃 + 1 + 1 热心回复!
zqcheng + 1 + 1 谢谢@Thanks!
起风了呦 + 1 + 1 谢谢@Thanks!
liminhs + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Whltewolf + 1 + 1 我很赞同!
金神主 + 1 + 1 谢谢@Thanks!
哒哒哒哒哒掌柜 + 1 + 1 用心讨论,共获提升!
玖天兮晨 + 1 还好我不玩荒野行动
Identity + 1 + 1 我很赞同!
krdn + 1 + 1 谢谢@Thanks!
meiboo + 1 + 1 我很赞同!
小神mars + 1 + 1 谢谢@Thanks!
橘子人头 + 1 + 1 谢谢@Thanks!
Xdoudou967777 + 1 + 1 我很赞同!
knlvz + 1 + 1 我很赞同!
Tang3Zang + 1 我很赞同!
loenlau + 1 + 1 我很赞同!
3015170 + 1 + 1 用心讨论,共获提升!
cqrlock2 + 1 + 1 我很赞同!
wenshitao + 1 + 1 太可怕了
20150605101006 + 1 + 1 热心回复!
Meock + 1 + 1 我很赞同!
fruit + 1 + 1 我很赞同!
java小凡 + 1 用心讨论,共获提升!
zqh888888888 + 1 + 1 谢谢@Thanks!
a3331777 + 1 + 1 我很赞同!
Hackerpro + 1 + 1 感谢有你
Mginxs777 + 1 + 1 建议联系警察抓获这沙比
vcr97 + 1 + 1 谢谢@Thanks!
KT-5 + 1 + 1 谢谢@Thanks!
初见未来 + 1 + 1 谢谢@Thanks!
tianbian + 1 + 1 我很赞同!
guan.jz + 1 + 1 谢谢@Thanks!
Jasonzh + 1 + 1 谢谢@Thanks!
Lone-bird + 1 有管理员在我们怕什么哈哈哈
shang521 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
cs258951 + 1 谢谢@Thanks!
sjw799206595 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
雷霆之怒 + 1 + 1 我很赞同!
luopeng520 + 1 + 1 我很赞同!
lymuck33 + 1 + 1 谢谢@Thanks!
szoe + 1 + 1 我很赞同!
hhz319 + 1 + 1 谢谢@Thanks!
HSir + 1 + 1 我很赞同!
pj324 + 1 我很赞同!
52pojie61022109 + 1 + 1 谢谢@Thanks!
jialon + 1 + 1 我很赞同!
冷月白狐 + 1 + 1 666
86889 + 1 + 1 谢谢@Thanks!
都是社会人 + 1 谢谢@Thanks!
Ginkgogogo + 1 + 1 鼓励转贴优秀软件安全工具和文档!
义色 + 1 + 1 我这样的程序盲 用影子没心事
sr920410 + 1 + 1 谢谢@Thanks!
C-ARan + 1 + 1 热心回复!
骑着猪逛街 + 1 + 1 谢谢@Thanks!
Ashes + 1 + 1 能不能让警察叔叔带走他
wcj1997 + 2 + 1 已答复!
laco + 1 + 1 我很赞同!
贱得有出息 + 1 + 1 谢谢@Thanks!
CZ水星 + 1 我很赞同!
zhangy0gg + 1 + 1 我很赞同!
loongsir + 1 用心讨论,共获提升!
lovelzh88 + 1 + 1 我很赞同!
七喜丶 + 1 + 1 这段勒索文字还模仿了永恒之蓝?
杨柳 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
无爱的神话 + 1 + 1 我很赞同!
Mr.feng + 1 + 1 谢谢@Thanks!
SnakeJohn + 1 + 1 我很赞同!
HelloEasy + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
touhoufans 发表于 2017-12-16 10:41
说实话 玩个游戏 还要搞些外挂辅助什么有意思么 那就不是你玩游戏 而是游戏玩你了
说到底还是一个侥幸心理在作祟

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Alliance + 1 + 1 其实我很希望能学会自己做这玩意 o.o

查看全部评分

推荐
老妈爱洗澡 发表于 2017-12-15 18:50
幸亏老子开了影子,这让的王八蛋生儿子没屁眼
推荐
 楼主| LCG 发表于 2017-12-15 18:39 |楼主
@oicq @客服小Z @burl @神哥网络 @xue123chao @小毛豆 @Zack12357 @864414452 @ab8689608 @awp8008 @小白峰峰 @Zack12357 @小白峰峰 @kkeraa @9981难 @karsh @了科技 @邓功涛 @旧橙梦 @olol462 @zaizaianan @xiaofeng55baby @阿木100 @吊名想三天 @夜陌 同学们可能都是看过这个帖子的,请注意下。

点评

我也不知道为啥@了两次,但是我没中招。哈哈哈。我那天莫名其妙的突然想杀毒来着。然后第二天看见这东西有毒!  发表于 2017-12-20 20:01

免费评分

参与人数 5吾爱币 +4 热心值 +3 收起 理由
豆豆嗯 + 1 谢谢@Thanks!
kid君 + 1 我也中招了
JavaSB + 1 PY交易的让我笑会儿233333
MaxYang69 + 2 + 1 我想@了2遍的可能是存在PY交易
KaQqi + 1 有个人@了两遍

查看全部评分

推荐
爱学习的小仙女 发表于 2017-12-15 18:54
2个小时前我还在收拾东西(准备明天的四六级考试)这么短的时间内,管理员就对这些帖子做出了处理,还手动艾特可能看过帖子的同学,可见还是很用心的。
前排支持管理~

免费评分

参与人数 3吾爱币 +3 热心值 +1 收起 理由
E飞翔 + 1 一个技术论坛,有些人品低下的人就喜欢乱搞。
爱国小枫枫 + 1 明天考六级,一起加油
天天404 + 1 + 1 考试加油

查看全部评分

头像被屏蔽
推荐
yuan71058 发表于 2017-12-15 18:50
提示: 作者被禁止或删除 内容自动屏蔽
推荐
style123 发表于 2017-12-15 18:50
So  一般过不了360的检测 我一般都不会用的

免费评分

参与人数 1吾爱币 +1 收起 理由
ERROR503 + 1 我很赞同!

查看全部评分

推荐
PA助手 发表于 2017-12-15 19:44
这种小人手里揣着点小技术,整天出来祸害他人
3#
1941368542 发表于 2017-12-15 18:41
前排支持管理~这种人就该ban
头像被屏蔽
4#
幻想 发表于 2017-12-15 18:41
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
5#
wdy2008088 发表于 2017-12-15 18:46
提示: 作者被禁止或删除 内容自动屏蔽
6#
叶默 发表于 2017-12-15 18:47
前排支持大大
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 08:07

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表