故事起源于C语言吧,某天在吧内看到了这个
其实不用猜都知道,这个肯定不是什么好东西,下载后放到虚拟机中一跑,就出现了这个画面
勒索病毒妥妥的。
所以,这个叫xiaoba的大黑客马上被删帖封禁处理。
不过就这样简单放过他是不存在的,我决定把这个大黑客的老底都翻出来。然后狠狠调戏一番。所以本章内容都不打码,一是起到挂城墙的作用,二是让广大互联网用户提高警惕,避免被坑。
首先,通过对他百度账户的搜索没发现xiaoba这个大黑客长期浪迹于易语言吧
进一步搜索信息发现,这个人在到处散播他的勒索软件,比如这个(所以谨记,陌生人推荐的陌生软件不要轻易下载安装!)
我们先回到之前那个勒索病毒中来
也就是这个号称RSA+AES加密的勒索软件(其实并没有,大黑客似乎并不知道什么是RSA和AES),将它放到虚拟机当中,使用ollydbg挂载它。
然后ALT+M打开内存映像,搜索8B5424048B4C240885D275,这个是易语言字符串比对的特征码
根据分析这个特征在这个程序中有2处,而比对注册码的在第二处,跳转到这个地址,然后下断点
在勒索软件的框框中随便输入点什么,点开始恢复文件,命中断点。
要破解很简单,要么把je用nop填充,要么在Call 比对函数后把eax置为0,当然最直接的是直接把下面的代码
变成这样
很快,这款基本没啥难度的勒索软件缴械投降
至于他说的什么RSA AES,那都是笑话,根本不具备任何的防逆向分析与数据加密能力。
到此,这个勒索软件宣告沦陷,不过我们不急,我们放长线钓大鱼
将这个勒索软件拷贝到虚拟机中,使用PeDoll进行行为分析
有关PeDoll使用教程在i春秋论坛中有,在这里我们使用恶意程序分析(带网络进行调试)
挂载后分析行为
点击开始分析,可以看到,在程序执行几个cmd命令并把自己设置为开机启动后开始全盘疯狂搜索并加密文件
汇编,C,C#源码类,doc ppt docx 文件类…都遭毒手,然后释放背景图片
最后PeDoll抓到了网络通讯的数据包,访问baidu的应该是易语言里某些插件做的
之后他还访问了www.ip138.com,应该是查询被锁电脑的IP地址
最后,高潮来了,这个软件往25端口发送了一些数据
25端口是什么,没错,SMTP发信协议,发邮件的,要发邮件必须是带有账户密码,看来大黑客除了有勒索的技能,还在如何把自己账号密码告诉别人这点上颇有造诣.点开数据,查看25端口的数据包
别的不多说了在AUTH LOGIN后的数据包是他邮箱base64后的账户,再之后的一个SEND就是他BASE64后的密码,当然这个软件还会在你电脑上截图然后用邮箱发出去
使用Base64解密,得出账户
密码
邮件发送的信息(主机配置和序列号还有解锁的Key):
打码?不需要的,大家随便登录随便玩,上foxmail,我们看看有什么好东西
看来除了我们刚刚测试的还有很多人被锁了
还有受害者求密码的,你看别人多直爽
行啊,你不客气我也不留情,很快呢我翻到了一些有趣的东西
这个邮件,显然是作者用来自己测试用的邮箱,他把自己大作的源码传了上来,OK,既然来了就大家一起开开心心的开源吧。
当然,还有别的好玩的
比如,大黑客测试时IP也给我们了,比如这个电脑名叫Xiaoba的,就是他没跑了
到这里,基本大黑客的老底被扒了大半了,我把他的所有邮件都下载下来,当然还是放在附件中,开心么?如果你认为这样就结束了?,当然没有,怎么可能,我们继续
笔者首先开了个小号,假装成受害者给他发邮件
为了显示我们很”急”我们多发几封过去.哦,虚拟机再拍张照,显示我们的”诚意”
现在我们等他上钩,然后给他点精神上的打击,没想到没想到他快就回了
还想要钱,不给你看点东西你都不知道IT界的残酷
大黑客突然蒙了,为什么邮箱被黑了
事已至此,这件事就算是告一段落。恐怕大黑客今晚要睡不着了,这篇文章让你死个明白。
同时也提醒各位读者,不要轻易下载安装陌生软件,当然,如果遇到了非法侵害,也不要向不法分子低头,毕竟,正义或许会迟到,但绝对不会缺席。
如果你也对相关技术感兴趣,或致力于成为一名白帽子做互联网安全的守护者,请关注我,会定期更新有用有趣的内容。
閱讀更多 i春秋論壇 的文章
