调戏勒索软件大黑客

文章来源：疯猫网络

故事起源于C语言吧,本人作为某一不称职小吧,某天在吧内看到了这个:

其实不用猜都知道,这个肯定不是什么好东西,下载后放到虚拟机中一跑,就出现了这个画面。

所以,这个叫xiaoba的大黑客马上被删帖封禁处理。

不过鉴于他在某些不该跳的地方跳大神，因此，就这样简单放过他是不存在的，鉴于最近实在有股怨念，因此我决定把这个大黑客的老底都翻出来。然后狠狠调戏一番让他知道IT界的残酷。所以本章内容我都不打码，一是起到挂城墙的作用，二是是让这个大黑客看看并让他死个明白。

首先通过对他百度账户的搜索没发现xiaoba这个大黑客长期浪迹于易语言吧

就是这个贴吧：

首先：本人对易语言实在没什么好感

然后：本人对易语言那群死忠用户实在没什么好感

最后：本人对易语言那些做什么锁机病毒勒索的尤其没什么好感

进一步搜索信息发现，这货在到处散播他的勒索软件，比如这个

这个，还有在各大贴吧论坛中，都有这货的足迹。

顺藤摸瓜摸到”易语言吧”的一个帖子中,刚好有被他的勒索软件中奖的

一次勒索1k元,不怕吃不下撑着么,在帖子中,这货还出来现身说法了,似乎他对他的勒索软件十分得意。

但是不凑巧的是,这货的的勒索病毒刚发出来就被路过的野生大神五步破解了

但显然这货不服

然后这位大黑客开始晒他的”英雄事迹”

显然他的旧版勒索软件被看雪的大佬扒了个干净,不过他还是不屈不挠地制作着更多的”新版本”

我们先回到之前那个勒索病毒中来

也就是这个号称RSA+AES加密的勒索软件(其实并没有,大黑客似乎并不知道什么是RSA和AES),将它放到虚拟机当中,使用ollydbg挂载它,显然大黑客对反调试手段似乎只知道一个加壳,这个勒索软件使用了UPX加壳,简单来说就是没点用,毕竟压缩壳在执行过程中已经是全裸的了。

然后ALT+M打开内存映像,搜索8B5424048B4C240885D275,这个是易语言字符串比对的特征码。

根据分析这个特征在这个程序中有2处,而比对注册码的在第二处,跳转到这个地址,然后下断点。

在勒索软件的框框中随便输入点什么,点开始恢复文件,命中断点

第一次命中时,勒索软件会先比较字符串是否为空,在第二次比较时才会和正确的Key进行比较,第二次比较时,显然正确的key已经出来了(右下角栈中)

没关系我们继续跟直到retn查看回到哪了返回后走几步,基本就知道怎么回事了。

要破解很简单,要么把je用nop填充,要么在Call 比对函数后把eax置为0,当然最直接的是直接把下面的代码。

变成这样

很快,这款基本没啥难度的勒索软件缴械投降

至于他说的什么RSA AES,那都是笑话,以他的智商根本不具备任何的防逆向分析与数据加密能力。

为了脸打得彻底点,基于上述原理我编写了一个一键破解的小软件,代码不长你可以直接复制黏贴编译,你可以在附件里找到这个软件的release程序和源代码

#include <Windows.h>
#include <tlhelp32.h>
#include <iostream>
#include <fstream>
#include <stdio.h>  
#define EXEJ_EXENAME "XiaoBa.exe"
   
static unsigned char const bin[]={0x83,0xf8,0x00,0xb8,0x00,0x00,0x00,0x00,0x0f,0x94,0xc0,0x89,0x45,0xf8,0x8b,0x5d,0xfc,0x85,0xdb,0x74,0x09};
static unsigned char const crkbin[]={0x33,0xc0,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90};
   
void MESSAGE(char *s)
{
MessageBox(NULL,s,"",MB_OK);
}
int main()
{
char buffer1k[1024];
unsigned int oft=0;
int bfound=FALSE;
HANDLE procSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if(procSnap == INVALID_HANDLE_VALUE)
{
MESSAGE("无法枚举进程\n");
return 0;
}
//
PROCESSENTRY32 procEntry = { 0 };
procEntry.dwSize = sizeof(PROCESSENTRY32);
BOOL bRet = Process32First(procSnap,&procEntry);
while(bRet)
{
if (strcmp(procEntry.szExeFile,EXEJ_EXENAME)==0)
{
bfound=TRUE;
break;
}
bRet = Process32Next(procSnap,&procEntry);
}
   
if (!bfound)
{
MESSAGE("未找到目标进程\n");
return 0;
}
   
CloseHandle(procSnap);
   
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procEntry.th32ProcessID);       
   
if (!hProcess)
{
MESSAGE("无法打开目标进程\n");
return 0;
}
   
DWORD oldProtect,fw,p=1;
while (oft<0x7fffffff-sizeof(buffer1k))
{
VirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), PAGE_EXECUTE_READWRITE, &oldProtect );
ReadProcessMemory( hProcess, (LPVOID)oft, buffer1k, sizeof(buffer1k), NULL);
for (int soft=0;soft<sizeof(buffer1k)-sizeof(bin);soft++)
{
if (memcmp(buffer1k+soft,bin,sizeof(bin))==0&&!(p--))
{
WriteProcessMemory(hProcess,(LPVOID)(oft+soft-sizeof(crkbin)),crkbin,sizeof(crkbin),&fw);
if (fw==0)
{
break;
}
if (fw==sizeof(crkbin))
{
MESSAGE("破解成功!请点击开始恢复文件");
CloseHandle(hProcess);
return 0;
}
}
}
//VirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), oldProtect, NULL );
oft+=(sizeof(buffer1k)-sizeof(bin));
}
MESSAGE("未找到破解特征");
}

将破解程序拷贝到中毒计算机中,双击运行后,提示破解成功

之后输入任意密码,开始解密

到此,这个勒索软件宣告沦陷,不过我们不急,我们放长线钓大鱼

将这个勒索软件拷贝到虚拟机中,使用PeDoll进行行为分析

有关PeDoll使用教程在论坛中有,在这里我们使用恶意程序分析(带网络进行调试)挂载后分析行为。

点击开始分析,可以看到,在程序执行几个cmd命令后,把自己设置为开机启动后开始全盘疯狂搜索并加密文件。

汇编,C,C#源码类,doc ppt docx 文件类…都遭毒手,然后释放背景图片

最后PeDoll抓到了网络通讯的数据包,访问baidu的应该是易语言里某些插件做的

之后他还访问了www.ip138.com,应该是查询被锁电脑的IP地址

最后,高潮来了,这个软件往25端口发送了一些数据

25端口是什么,没错,SMTP发信协议,发邮件的,要发邮件必须是带有账户密码,看来大黑客除了有勒索的技能,还在如何把自己账号密码告诉别人这点上颇有造诣.点开数据,查看25端口的数据包。

别的不多说了在AUTH LOGIN后的数据包是他邮箱base64后的账户,再之后的一个SEND就是他BASE64后的密码,当然这个软件还会在你电脑上截图然后用邮箱发出去。

使用Base64解密,得出账户

密码

邮件发送的信息(主机配置和序列号还有解锁的Key):

打码?不需要的,大家随便登录随便玩,上foxmail,我们看看有什么好东西

看来除了我们刚刚测试的还有很多人被锁了

还有受害者求密码的,你看别人多直爽

行啊,你不客气我也不留情,很快呢我翻到了一些有趣的东西

这个邮件,显然是作者用来自己测试用的邮箱,他把自己大作的源码传了上来,OK,既然来了就大家一起开开心心的开源吧,当然还有他电脑桌面的一张截图,大家一起分享下,所有源码在附件可下载。

当然,还有别的好玩的

比如,大黑客测试时IP也给我们了,比如这个电脑名叫Xiaoba的,就是他没跑了。

到这里,基本大黑客的老底被扒了大半了,我把他的所有邮件都下载下来,当然还是放在附件中,开心么?如果你认为这样就结束了?,当然没有,怎么可能,我们继续

笔者首先开了个小号,假装成受害者给他发邮件。

为了显示我们很”急”我们多发几封过去.哦,虚拟机再拍张照,显示我们的”诚意”

现在我们等他上钩,然后给他点精神上的打击,没想到没想到他快就回了

咳咳

还想要钱，不给你看点东西你都不知道IT界的残酷

大黑客突然蒙了，为什么邮箱被黑了

恐怕大黑客今晚要睡不着了，这篇文章让你死个明白

END：放出大黑客邮件的打包源码&一键破解器&一些别的，回复可见。