調戲勒索軟體大黑客

作者:immenma

來源:i春秋社區

如果已看過此篇,可直接跳去隔壁片場 >>> 再次調戲勒索軟體大黑客【第二篇】

故事起源於C語言吧,本人作為某一不稱職小吧,某天在吧內看到了這個:

其實不用猜都知道,這個肯定不是什麼好東西,下載後放到虛擬機中一跑,就出現了這個畫面

所以,這個叫xiaoba的大黑客馬上被刪帖封禁處理。

不過鑒於他在某些不該跳的地方跳大神,因此,就這樣簡單放過他是不存在的,鑒於最近實在有股怨念,因此我決定把這個大黑客的老底都翻出來。然後狠狠調戲一番讓他知道IT界的殘酷。所以本章內容我都不打碼,一是起到掛城牆的作用,二是是讓這個大黑客看看並讓他死個明白。

首先,通過對他百度賬戶的搜索沒發現xiaoba這個大黑客長期浪跡於易語言吧

就是這個貼吧:

首先:本人對易語言實在沒什麼好感

然後:本人對易語言那群死忠用戶實在沒什麼好感

最後:本人對易語言那些做什麼鎖機病毒勒索的尤其沒什麼好感

進一步搜索信息發現,這貨在到處散播他的勒索軟體,比如這個

這個,還有在各大貼吧論壇中,都有這貨的足跡

順藤摸瓜摸到」易語言吧」的一個帖子中,剛好有被他的勒索軟體中獎的

一次勒索1k元,不怕吃不下撐著么,在帖子中,這貨還出來現身說法了,似乎他對他的勒索軟體十分得意

但是不湊巧的是,這貨的的勒索病毒剛發出來就被路過的野生大神五步破解了

但顯然這貨不服

然後這位大黑客開始曬他的」英雄事迹」

顯然他的舊版勒索軟體被看雪的大佬扒了個乾淨,不過他還是不屈不撓地製作著更多的」新版本」

我們先回到之前那個勒索病毒中來

也就是這個號稱RSA+AES加密的勒索軟體(其實並沒有,大黑客似乎並不知道什麼是RSA和AES),將它放到虛擬機當中,使用ollydbg掛載它,顯然大黑客對反調試手段似乎只知道一個加殼,這個勒索軟體使用了UPX加殼,簡單來說就是沒點卵用,畢竟壓縮殼在執行過程中已經是全裸的了。

然後ALT+M打開內存映像,搜索8B5424048B4C240885D275,這個是易語言字元串比對的特徵碼

根據分析這個特徵在這個程序中有2處,而比對註冊碼的在第二處,跳轉到這個地址,然後下斷點

在勒索軟體的框框中隨便輸入點什麼,點開始恢復文件,命中斷點

第一次命中時,勒索軟體會先比較字元串是否為空,在第二次比較時才會和正確的Key進行比較,第二次比較時,顯然正確的key已經出來了(右下角棧中)

沒關係,我們繼續跟直到retn查看回到哪了,返回後走幾步,基本就知道怎麼回事了

要破解很簡單,要麼把je用nop填充,要麼在Call 比對函數後把eax置為0,當然最直接的是直接把下面的代碼

變成這樣

很快,這款基本沒啥難度的勒索軟體繳械投降

至於他說的什麼RSA AES,那都是笑話,以他的智商根本不具備任何的防逆向分析與數據加密能力.

為了臉打得徹底點,基於上述原理我編寫了一個一鍵破解的小軟體,代碼不長你可以直接複製黏貼編譯,你可以在附件里找到這個軟體的release程序和源代碼

#include <Windows.h>n#include <tlhelp32.h>n#include <iostream>n#include <fstream>n#include <stdio.h>n n#define EXEJ_EXENAME "XiaoBa.exe"n nstatic unsigned char const bin[]={0x83,0xf8,0x00,0xb8,0x00,0x00,0x00,0x00,0x0f,0x94,0xc0,0x89,0x45,0xf8,0x8b,0x5d,0xfc,0x85,0xdb,0x74,0x09};nstatic unsigned char const crkbin[]={0x33,0xc0,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90};n nvoid MESSAGE(char *s)n{nMessageBox(NULL,s,"",MB_OK);n}nint main()n{nchar buffer1k[1024];nunsigned int oft=0;nint bfound=FALSE;nHANDLE procSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);nif(procSnap == INVALID_HANDLE_VALUE)n{nMESSAGE("無法枚舉進程n");nreturn 0;n}n//nPROCESSENTRY32 procEntry = { 0 };nprocEntry.dwSize = sizeof(PROCESSENTRY32);nBOOL bRet = Process32First(procSnap,&procEntry);nwhile(bRet)n{nif (strcmp(procEntry.szExeFile,EXEJ_EXENAME)==0)n{nbfound=TRUE;nbreak;n}nbRet = Process32Next(procSnap,&procEntry);n}n nif (!bfound)n{nMESSAGE("未找到目標進程n");nreturn 0;n}n nCloseHandle(procSnap);n nHANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procEntry.th32ProcessID); n nif (!hProcess)n{nMESSAGE("無法打開目標進程n");nreturn 0;n}n nDWORD oldProtect,fw,p=1;nwhile (oft<0x7fffffff-sizeof(buffer1k))n{nVirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), PAGE_EXECUTE_READWRITE, &oldProtect );nReadProcessMemory( hProcess, (LPVOID)oft, buffer1k, sizeof(buffer1k), NULL);nfor (int soft=0;soft<sizeof(buffer1k)-sizeof(bin);soft++)n{nif (memcmp(buffer1k+soft,bin,sizeof(bin))==0&&!(p--))n{nWriteProcessMemory(hProcess,(LPVOID)(oft+soft-sizeof(crkbin)),crkbin,sizeof(crkbin),&fw);nif (fw==0)n{nbreak;n}nif (fw==sizeof(crkbin))n{nMESSAGE("破解成功!請點擊開始恢復文件");nCloseHandle(hProcess);nreturn 0;n}n}n}n//VirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), oldProtect, NULL );noft+=(sizeof(buffer1k)-sizeof(bin));n}nMESSAGE("未找到破解特徵");n}n

將破解程序拷貝到中毒計算機中,雙擊運行後,提示破解成功

之後輸入任意密碼,開始解密

到此,這個勒索軟體宣告淪陷,不過我們不急,我們放長線釣大魚

將這個勒索軟體拷貝到虛擬機中,使用PeDoll進行行為分析

有關PeDoll使用教程在論壇中有,在這裡我們使用惡意程序分析(帶網路進行調試)

掛載後分析行為

點擊開始分析,可以看到,在程序執行幾個cmd命令後,把自己設置為開機啟動後開始全盤瘋狂搜索並加密文件

彙編,C,C#源碼類,doc ppt docx 文件類…都遭毒手,然後釋放背景圖片

最後PeDoll抓到了網路通訊的數據包,訪問baidu的應該是易語言里某些插件做的

之後他還訪問了www.ip138.com,應該是查詢被鎖電腦的IP地址

最後,高潮來了,這個軟體往25埠發送了一些數據

25埠是什麼,沒錯,SMTP發信協議,發郵件的,要發郵件必須是帶有賬戶密碼,看來大黑客除了有勒索的技能,還在如何把自己賬號密碼告訴別人這點上頗有造詣.點開數據,查看25埠的數據包

別的不多說了在AUTH LOGIN後的數據包是他郵箱base64後的賬戶,再之後的一個SEND就是他BASE64後的密碼,當然這個軟體還會在你電腦上截圖然後用郵箱發出去

使用Base64解密,得出賬戶

密碼

郵件發送的信息(主機配置和序列號還有解鎖的Key):

打碼?不需要的,大家隨便登錄隨便玩,上foxmail,我們看看有什麼好東西

看來除了我們剛剛測試的還有很多人被鎖了

還有受害者求密碼的,你看別人多直爽

行啊,你不客氣我也不留情,很快呢我翻到了一些有趣的東西

這個郵件,顯然是作者用來自己測試用的郵箱,他把自己大作的源碼傳了上來,OK,既然來了就大家一起開開心心的開源吧,當然還有他電腦桌面的一張截圖,大家一起分享下,所有源碼在附件可下載.

當然,還有別的好玩的

比如,大黑客測試時IP也給我們了,比如這個電腦名叫Xiaoba的,就是他沒跑了

到這裡,基本大黑客的老底被扒了大半了,我把他的所有郵件都下載下來,當然還是放在附件中,開心么?如果你認為這樣就結束了?,當然沒有,怎麼可能,我們繼續

筆者首先開了個小號,假裝成受害者給他發郵件

為了顯示我們很」急」我們多發幾封過去.哦,虛擬機再拍張照,顯示我們的」誠意」

現在我們等他上鉤,然後給他點精神上的打擊,沒想到沒想到他快就回了

咳咳

還想要錢,不給你看點東西你都不知道IT界的殘酷還想要錢,不給你看點東西你都不知道IT界的殘酷

大黑客突然蒙了,為什麼郵箱被黑了

恐怕大黑客今晚要睡不著了,這篇文章讓你死個明白

END:放出大黑客郵件的打包源碼&一鍵破解器&一些別的

xiaoba軟體的源代碼、郵件打包地址原文查看。

如果已看過此篇,可直接跳去隔壁片場 >>> 再次調戲勒索軟體大黑客【第二篇】


推薦閱讀:

馬雲想要的刷臉支付,谷歌真的幫他實現了!
[長期]CTF相關書籍以及個人簡評
NO.12 最近跟AppScan幹上了
CC攻擊為什麼需要代理伺服器?為什麼不用客戶端直接發起攻擊?
Popcorn Time(爆米花時刻):第一個不收贖金的勒索軟體

TAG:白帽黑客WhiteHat | 信息安全 | 黑客Hacker |