有文化可以有多可怕？——调戏勒索软件黑客

说下身边一个女黑客调戏勒索软件骗子的一个事情，她是做信息安全方面的，在某吧看到一个人说自己新开发了一个软件，这货到处发地址，实则是勒索地址，付费帮你解锁，但是朋友对他进行了反击，并且狠狠地教训了他。

故事起源于C语言吧,本人作为某一不称职小吧,某天在吧内看到了这个:

其实不用猜都知道,这个肯定不是什么好东西,下载后放到虚拟机中一跑,就出现了这个画面

所以,这个叫xiaoba的大黑客马上被删帖封禁处理。

不过鉴于他在某些不该跳的地方跳大神，因此，就这样简单放过他是不存在的，鉴于最近实在有股怨念，因此我决定把这个大黑客的老底都翻出来。然后狠狠调戏一番让他知道IT界的残酷。所以本章内容我都不打码，一是起到挂城墙的作用，二是是让这个大黑客看看并让他死个明白。

首先，通过对他百度账户的搜索没发现xiaoba这个大黑客长期浪迹于易语言吧

就是这个贴吧：

首先：本人对易语言实在没什么好感

然后：本人对易语言那群死忠用户实在没什么好感

最后：本人对易语言那些做什么锁机病毒勒索的尤其没什么好感

进一步搜索信息发现，这货在到处散播他的勒索软件，比如这个

这个，还有在各大贴吧论坛中，都有这货的足迹

顺藤摸瓜摸到”易语言吧”的一个帖子中,刚好有被他的勒索软件中奖的

一次勒索1k元,不怕吃不下撑着么,在帖子中,这货还出来现身说法了,似乎他对他的勒索软件十分得意

但是不凑巧的是,这货的的勒索病毒刚发出来就被路过的野生大神五步破解了

但显然这货不服

然后这位大黑客开始晒他的”英雄事迹”

显然他的旧版勒索软件被看雪的大佬扒了个干净,不过他还是不屈不挠地制作着更多的”新版本”

我们先回到之前那个勒索病毒中来

也就是这个 称RSA+AES加密的勒索软件(其实并没有,大黑客似乎并不知道什么是RSA和AES),将它放到虚拟机当中,使用ollydbg挂载它,显然大黑客对反调试手段似乎只知道一个加壳,这个勒索软件使用了UPX加壳,简单来说就是没点卵用,毕竟压缩壳在执行过程中已经是全裸的了

然后ALT+M打开内存映像,搜索8B5424048B4C240885D275,这个是易语言字符串比对的特征码

根据分析这个特征在这个程序中有2处,而比对注册码的在第二处,跳转到这个地址,然后下断点

在勒索软件的框框中随便输入点什么,点开始恢复文件,命中断点

第一次命中时,勒索软件会先比较字符串是否为空,在第二次比较时才会和正确的Key进行比较,第二次比较时,显然正确的key已经出来了(右下角栈中)

没关系,我们继续跟直到retn查看回到哪了,返回后走几步,基本就知道怎么回事了

要破解很简单,要么把je用nop填充,要么在Call 比对函数后把eax置为0,当然最直接的是直接把下面的代码

变成这样

很快,这款基本没啥难度的勒索软件缴械投降

至于他说的什么RSA AES,那都是笑话,以他的智商根本不具备任何的防逆向分析与数据加密能力.

为了脸打得彻底点,基于上述原理我编写了一个一键破解的小软件,代码不长你可以直接复制黏贴编译,你可以在附件里找到这个软件的release程序和源代码

[C] 纯文本查看 复制代码

?

将破解程序拷贝到中毒计算机中,双击运行后,提示破解成功

之后输入任意密码,开始解密

到此,这个勒索软件宣告沦陷,不过我们不急,我们放长线钓大鱼

将这个勒索软件拷贝到虚拟机中,使用PeDoll进行行为分析

有关PeDoll使用教程在论坛中有,在这里我们使用恶意程序分析(带 络进行调试)

挂载后分析行为

点击开始分析,可以看到,在程序执行几个cmd命令后,把自己设置为开机启动后开始全盘疯狂搜索并加密文件

汇编,C,C#源码类,doc ppt docx 文件类…都遭毒手,然后释放背景图片

最后PeDoll抓到了 络通讯的数据包,访问baidu的应该是易语言里某些插件做的

之后他还访问了www.ip138.com,应该是查询被锁电脑的IP地址

最后,高潮来了,这个软件往25端口发送了一些数据

25端口是什么,没错,SMTP发信协议,发邮件的,要发邮件必须是带有账户密码,看来大黑客除了有勒索的技能,还在如何把自己账 密码告诉别人这点上颇有造诣.点开数据,查看25端口的数据包

别的不多说了在AUTH LOGIN后的数据包是他邮箱后的账户,再之后的一个SEND就是他后的密码,当然这个软件还会在你电脑上截图然后用邮箱发出去

使用解密,得出账户

密码

邮件发送的信息(主机配置和序列 还有解锁的Key):

打码?不需要的,大家随便登录随便玩,上foxmail,我们看看有什么好东西

看来除了我们刚刚测试的还有很多人被锁了

还有受害者求密码的,你看别人多直爽

行啊,你不客气我也不留情,很快呢我翻到了一些有趣的东西

当然,还有别的好玩的

比如,大黑客测试时IP也给我们了,比如这个电脑名叫Xiaoba的,就是他没跑了

到这里,基本大黑客的老底被扒了大半了,我把他的所有邮件都下载下来,当然还是放在附件中,开心么?如果你认为这样就结束了?,当然没有,怎么可能,我们继续

笔者首先开了个小 ,假装成受害者给他发邮件

为了显示我们很”急”我们多发几封过去.哦,虚拟机再拍张照,显示我们的”诚意”

现在我们等他上钩,然后给他点精神上的打击,没想到没想到他快就回了

咳咳

还想要钱，不给你看点东西你都不知道IT界的残酷

大黑客突然蒙了，为什么邮箱被黑了

恐怕大黑客今晚要睡不着了，这篇文章让你死个明白