简介

见过最辣鸡的勒索病毒 首发:吾爱论坛会员:Yennfer_

详细分析

这图标一看就是老二次元了

低能勒索病毒1.jpg

先运行起来看一看
一点开就是一首日语歌愉悦的播放了起来,差点没给我送走,然后弹窗告诉你要关机了

低能勒索病毒2.jpg

几次确定之后,出现了一个勒索界面,老二次元了

低能勒索病毒3.jpg

这程序有个BUG,他的重启指令在这个弹窗完成之后,所以只要你不点弹窗框的确定,他就不会重启
查壳,是一个ZProtect的壳

低能勒索病毒4.jpg

脱壳之后,拉进IDA,直接Shift+F12查看字符串,就能看见修改的注册表、给新添加的系统账户和密码

低能勒索病毒5.jpg

程序运行之后,cmd、任务管理器、右键菜单失效等都是这里的注册表实现,但是启动所有程序都会变成打开图片,字符串这里没有,我也很好奇是怎么让应用程序变成图片打开的

在IDA中使用X查找交叉引用,找到引用了这些字符串的地方

低能勒索病毒6.jpg

得到压栈的地址 401297

低能勒索病毒7.jpg

MFC的程序在IDA中不好看

在OD中打开程序,在401297下断,F9运行断下

低能勒索病毒8.jpg

断下的时候瞬间闪了个黑框过去,那是因为前面的部分代码跑起来了,问题不大,只要他程序的Shutdown还没有跑就ok

call前面一行给ebx赋值了一个地址,这里很可疑

低能勒索病毒9.jpg

给这个地址下个断点,401AD0,再F9就命中了这个断点,再往下看

单步往下,进入call继续单步,可以看见Open注册表了
低能勒索病毒10.jpg

低能勒索病毒11.jpg

打开了HKEY_CLASSES_ROOT这个注册表下的.exe项
低能勒索病毒12.jpg

都打开了,接下来该是修改这个子项里的键值了

修改前
低能勒索病毒13.jpg

修改后

低能勒索病毒14.jpg

将.exe程序键值改为了jpegfile,所有的.exe程序都会被系统当成图片处理,所以在运行的时候就会变成图片打开

修复
修复注册表,复制保存为.reg双击运行就可以了

REGEDIT4
[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
[HKEY_CLASSES_ROOT.exe] ""="exefile"
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem]
"DisableCMD"=-

新加的账户和密码前面都有,删了就行

最后修改:2020 年 03 月 21 日 10 : 05 AM
赞赏必须赞赏,多多益善,老板一直发大财!