敲竹杠家族又出新玩法 - 随机化密码、邮件取信


0x01 概况


近期360QVM团队截获到了一批伪装成游戏外挂、QQ刷钻、游戏刷装备等类型的敲诈软件。一旦用户点击运行,用户计算机的管理员账号将被添加或更改密码,造成用户计算机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费,从而达到勒索用户资金的目的。

0x02 样本分析


近期我们捕获到的恶意勒索类软件主要分为两种实现方法,其中一种是为计算机用户添加固定的用户密码;另一种是通过当前环境的部分信息进行加密计算后设置系统的用户密码,导致无法进入系统操作界面,本文将以一枚随机算法的样本进行分析。

样本信息:

  • MD5:FD71FA7B8B9282618E050653464611F4
  • SHA1:C0126EACC1D50F0F7BBE3C1303EA61154688AC4B

(1)样本执行流程

样本首先通过随机数和取时间进行混合运算后得到密码,然后通过操作注册表达到关闭UCA(User Account Control)等功能,再修改用户密码并向作者设定好的邮箱中投递密码信息用作用户赎回密码时提供密码,最后进行强制关机。

(2)样本具体行为

样本启动后首先对设置自身为开机启动项,在注册表内建立

“3.exe”的注册表项

通过taskkill 来结束卡巴斯基、瑞星、McAfee 等安全软件来实现保护自身的目的。

对注册表的相关操作数量过多,将在下文源码中具体体现。

其中设置注册表项共计如下:

其中删除注册表共计如下:

调用cmd进行添加计算机密码

对作者预设的邮箱中发送密码信息,在发送密码后将进行关机

因为样本是易语言样本,根据其特性识别样本中的支持库信息并还原源码,其算法部分如下:

逆向支持库后还原完整源码如下:

0x03 解决方案


对付敲竹杠木马以预防为主,如果不慎中招,推荐使用360安全查询的敲竹杠木马开机密码找回功能(http://fuwu.360.cn/chaxun/qq),我们通过对样本分析,不断更新补充敲竹杠木马的开机密码库,在找回开机密码后请及时全盘扫描杀毒。如遇到无法查到密码的情况,也欢迎向我们提交样本反馈。

开机密码找回步骤:

1、若您的电脑开机出现如下画面

2、输入对方留下的联系QQ号码

3、立即修改您的密码(控制面板→用户账户→更改密码)

0x04 总结


在PC领域,“勒索软件”这个词在去年一个名为CryptLocker的病毒爆发之后逐渐进入公众视线,其会将用户文档资料全部加密,而用户必须给黑客支付300美元或0.5比特币才能找回自己的文档资料。而在此之后国内也出现了利用添加或修改用户开机密码进行勒索的恶意软件,并且有愈演愈烈地趋势。这种类型的恶意软件如果进一步演变,对用户电脑及电脑上的数据资料都会带来巨大的安全风险和威胁。我们将密切关注此类恶意软件的演变趋势并提供有效的解决方案。

评论

路人甲 2015-10-23 15:39:37

唉, 丢人啊

2015-10-23 16:15:48

借机敲诈 20-30 元不等的钱财

路人甲 2015-10-23 16:21:51

The Yi language is 66666666666

P

phunter 2015-10-24 01:46:29

易语言太亮了,你说要是易语言写一个木马专门打国外网站,这抓到了老外也不能反编译,是不是很机智

M

Michael 2015-10-24 15:11:16

這玩意專門針對XP的呀,現在Microsoft賬戶的好處就真正體現出來。

小良不能说的秘密 2015-10-26 07:13:44

学习了,通过随机数和时间随机生成密码,这敲竹杠又升级了。。。

小良不能说的秘密 2015-10-26 07:15:21

@phunter 不是有谷歌么

路人甲 2015-10-28 17:53:13

安全软件就被一个taskkill杀了?

S

Sakura丶小樱 2015-11-01 23:09:29

输入QQ查密码是什么原理?求告知!

3

360安全卫士

360安全卫士官方账号

twitter weibo github wechat

随机分类

神器分享 文章:71 篇
事件分析 文章:223 篇
运维安全 文章:62 篇
数据安全 文章:29 篇
二进制安全 文章:77 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录