白帽黑客：調戲勒索軟件的正確姿勢

我的朋友張狗蛋，江湖人稱不開掛不舒服斯基,他的樂趣是在網上找一堆黑科技，好在遊戲裡享受那種神仙打架的快感。某天他又不知道從哪個群裡下載了一個名叫xx自瞄透視什麼的軟件。不想到剛運行完他的電腦就藍屏重啟了，然後就變成了這個樣子。

當然，下面是可以輸入密碼的，像這樣：

不過要是你沒有輸對密碼，那麼恐怕你就沒辦法進入系統了。顯而易見的，張狗蛋運行的是一個勒索病毒，這回他恐怕當不成神仙了。

相信看到這裡各位看官中的不少就開始拍大腿了，我當初也有和張狗蛋一樣的人生經歷啊！相信有不少人真照著屏幕上的提示給這個勒索軟件開發者交了一筆學費，但是我好氣啊，我好怨啊，我好想報復啊！不過又沒辦法，只能照著屏幕上的提示，被勒索一筆錢財。

其實各位看官現在看到的，正是當下非常常見的一款勒索病毒的形式，還有一種異曲同工之妙的是運行後你的windows會莫名其妙的被加上密碼，變成類似下面這個樣子:

總之天上是不會掉餡餅的，中招的小夥伴應該有大半是為了貪小便宜而中招的，這類勒索軟件大多會偽裝成某種遊戲的外掛或者號稱能給你撈到些好處，並且在運行之前，都會口口聲聲說必須關閉殺毒軟件否者不能使用之類的云云。

但本篇文章的目的並不是要告訴大家如何防範這類病毒,這種東西反正網上很多,也沒多少人願意看,今天應往期讀者邀請,寫一些大家喜聞樂見大仇得報的,同時,已經中招的小夥伴也可以按照這篇文章的內容破解勒索病毒,沒有中招但天天窩在被窩裡唱我的寂寞誰的錯的小夥伴也可以按照本文給出的方法自行娛樂,不用擔心,我們的口號是三分鐘入門，十分鐘學會，半小時精通。

那麼我們到底要做什麼呢？沒錯，我們要做的就是把這些勒索軟件的老底都翻出來，然後找到這款勒索軟件的作者,好好的嘲諷一番,讓大黑客們今晚氣的睡不著,我們的目的也就達到了(當然,相關截圖證據都已送交對應舉報中心,據完稿為止幾個大黑客已經被封號處理了,如果讀者中已經有蒙受經濟損失的小夥伴,建議立即報警！).

調戲前的準備工作

其實故事的起因是筆者的一個朋友告訴筆者，他的電腦變成了就是狗蛋那個樣子（當然狗蛋是虛構的），其實這類勒索軟件的製作者絕大多數都是一些不滿20歲的中二病熊孩子，另外還有一些是20-30歲左右對計算機那麼一知半解半桶水但腦子裡全是歪門邪道的菜逼，簡單來說就是腳本小子，這類勒索軟件的勒索代碼，幾乎都是千篇一律，其中的過半數都是某種工具生成出來的，另外不然就是易語言這種神奇的中二病語言製作出來的，不過請放心，要破解這類勒索軟件大多的情況下都非常的簡單，還記得之前說所的三分鐘入門，十分鐘學會，半小時精通麼，這個真不是吹牛。

當然，工欲善其事必先利其器，如果讀者也打算自己練練手那麼下面幾個軟件需要先行安裝。

1.VMWare 這是一個虛擬機軟件，安裝的過程筆者就不復述了，網上非常多，這款軟件的作用就是能夠"虛擬一臺"電腦，我們的病毒程序樣本都放在虛擬機中運行，防止對我們的物理機破壞

2.PeDoll 這是一個行為分析軟件集（應該說不僅僅是行為分析軟件），用來對惡意軟件進行分析，它能夠簡化很多的逆向分析工作，甚至還具有"免疫"多數加殼加花反分析的的能力，當然目前這款軟件已經開源了，在看官要是搞不懂下載下來照著做就行了，這款軟件不需要任何安裝，直接下載解壓就可以使用了。

3.勒索軟件樣本若干。筆者從某個朋友那一共弄了5個典型（調戲）的樣本，當然，每個樣本都對應一個"勒索大黑客"。這一期只講前兩個

那麼假如你完成了上面的準備工作後，你就可以和筆者一起玩耍了，假如你不想自己動手，那麼可以準備好瓜子餅乾進入看戲模式了。

大黑客一號：不給錢，那就鎖著吧

大黑客一號行走江湖多年，練就了一身大哥大的王者風範，術語之專業勒索之老練，無不透露著"大黑客"的霸氣，乃至於嚇得我都差點交了保護費了。

在此之前，我們先來看看勒索軟件樣本，這個樣本解壓出來後是一個叫"狙擊手"的軟件，旁邊還配了一張並沒有什麼卵用的教程圖片,筆者將這個軟件重命名為樣本.exe

我們打開虛擬機，將這個狙擊手樣本.exe和pedollà調試機程序下的所有文件都複製黏貼到虛擬機當中.

完成後應該是這個樣子

右鍵以管理員身份運行pedolls.exe

切回回物理機,在pedollà控制器文件夾中運行pedollc.exe

選擇菜單->監視器->然後填寫虛擬機裡pedolls上顯示的IP地址,在上上張圖中我們可以看到這個地址是192.168.44.128

點擊 菜單à規則à加載規則腳本然後在常用腳本文件夾中選中勒索程序調試

在菜單欄點擊 然後在命令框中輸入 doll db 回車

之後,從左到右依次點擊下面幾個按鈕

不出意外,你應該會看到這個窗口

在命令窗口輸入hook WriteFile 注意大小寫,回車

然後一直點擊執行,之後解密應該變成這個樣子的

同時,我們的虛擬機也"順利"被勒索病毒鎖上了

在pedoll下菜單中點擊數據，同時選中並雙擊第二個數據包

那麼密碼在哪呢，其實密碼就在右邊窗口Y[到.的部分

也就是說,這個勒索病毒的密碼是1617asdasd,如果你仍然不清楚如何操作,那麼下面的視頻是演示步驟.整個過程只需要2分鐘的時間就能學會

行了,既然密碼破解了我們也要準備去拜訪一下這位大黑客了,我們偽裝成受害者的樣子,加這位大黑客,為了裝的像一點,我用手機拍了一張虛擬機的鎖機平面

這位顯然是一位自信爆棚的大黑客,不僅勒索起來輕車熟路還打著招收徒弟的名號,打算培養更多的大黑客來做這一行當.大黑客很快給出了他的價碼

既然要裝我們就裝的像一點唄.講價行不行

顯然大黑客還不答應,還打起了信譽第一,就憑你別侮辱信譽這個詞了.玩的差不多了,開嘲諷

大黑客很快和皮球一樣發飆了

估計這個大黑客今天心情都不美麗了,筆者將它的信息發在某群中,很快鵝廠的朋友送他了凍結套餐,但世界怎麼就那麼小呢,在調戲完這名大黑客之後.又收到了他的樣本,繼續嘲諷一波

不過大黑客沒有回話.估計這個QQ號已經涼了.

大黑客二號:我家樓下算命的都比你強

樣本2筆者拿到時名叫"穿越火線無限子彈"，其實久聞這款遊戲乃各路龍傲天中二病聚集地，相信這個勒索程序中招的也不少。圖標上還寫著"意發科技"四個字，也不知道是哪個中二病創建的"毀滅世界"的組織，這些就不吐槽了，和第一個樣本一樣將這個樣本和pedolls.exe一起復制到虛擬機。

重複上述步驟，直到輸入hook WriteFile那一步，接下來的都不用做了，因為密碼已經顯示在PeDoll的監視窗口中了。

在administrator後面的文本就是密碼了，沒錯，就是123321

試驗一下，看來沒錯

好了，密碼有了我們繼續去找這個QQ叫3450420774的麻煩。老套路使用小號偽裝成受害者加了這位大黑客

這個大仙不知道為什麼還問我幾歲，當然是永遠的18歲，他企圖敲詐50塊，當然筆者也不是省油的燈，砍價到5塊

顯然那麼大的殺價大黑客不開心了，不開心就不開心唄，我找樓下算命的試試

大黑客顯然不願意放過這門生意，看來窮瘋了5塊錢也不放過，筆者說，算命的說只要2塊，然後把我們的密碼報過去。

看著大黑客一臉不敢相信的樣子，我們繼續挑逗

估計他這個水準，密碼破解估計不用1分鐘，不過大黑客似乎沒給我這個算命先生這個機會，我被拉黑了。

後記

那麼各位看的過癮否,當然,現在仍然有一堆中二病大黑客還在從事這勒索的損人利己的勾當,不過多行不義必自斃,對付這類渣滓,不需要留情面。

當然,如果你是這類病毒的受害者,那麼你可以通過上述辦法破解出密碼。

如果你對網絡安全感興趣，或者希望看到後續，那麼請關注我，文章會繼續更新。