故事起源於C語言吧,某天在吧內看到了這個
其實不用猜都知道,這個肯定不是什麼好東西,下載後放到虛擬機中一跑,就出現了這個畫面
勒索病毒妥妥的。
所以,這個叫xiaoba的大黑客馬上被刪帖封禁處理。
不過就這樣簡單放過他是不存在的,我決定把這個大黑客的老底都翻出來。然後狠狠調戲一番。所以本章內容都不打碼,一是起到掛城牆的作用,二是讓廣大互聯網用戶提高警惕,避免被坑。
首先,通過對他百度賬戶的搜索沒發現xiaoba這個大黑客長期浪跡於易語言吧
進一步搜索信息發現,這個人在到處散播他的勒索軟件,比如這個(所以謹記,陌生人推薦的陌生軟件不要輕易下載安裝!)
我們先回到之前那個勒索病毒中來
也就是這個號稱RSA+AES加密的勒索軟件(其實並沒有,大黑客似乎並不知道什麼是RSA和AES),將它放到虛擬機當中,使用ollydbg掛載它。
然後ALT+M打開內存映像,搜索8B5424048B4C240885D275,這個是易語言字符串比對的特徵碼
根據分析這個特徵在這個程序中有2處,而比對註冊碼的在第二處,跳轉到這個地址,然後下斷點
在勒索軟件的框框中隨便輸入點什麼,點開始恢復文件,命中斷點。
要破解很簡單,要麼把je用nop填充,要麼在Call 比對函數後把eax置為0,當然最直接的是直接把下面的代碼
變成這樣
很快,這款基本沒啥難度的勒索軟件繳械投降
至於他說的什麼RSA AES,那都是笑話,根本不具備任何的防逆向分析與數據加密能力。
到此,這個勒索軟件宣告淪陷,不過我們不急,我們放長線釣大魚
將這個勒索軟件拷貝到虛擬機中,使用PeDoll進行行為分析
有關PeDoll使用教程在i春秋論壇中有,在這裡我們使用惡意程序分析(帶網絡進行調試)
掛載後分析行為
點擊開始分析,可以看到,在程序執行幾個cmd命令並把自己設置為開機啟動後開始全盤瘋狂搜索並加密文件
彙編,C,C#源碼類,doc ppt docx 文件類…都遭毒手,然後釋放背景圖片
最後PeDoll抓到了網絡通訊的數據包,訪問baidu的應該是易語言裡某些插件做的
之後他還訪問了www.ip138.com,應該是查詢被鎖電腦的IP地址
最後,高潮來了,這個軟件往25端口發送了一些數據
25端口是什麼,沒錯,SMTP發信協議,發郵件的,要發郵件必須是帶有賬戶密碼,看來大黑客除了有勒索的技能,還在如何把自己賬號密碼告訴別人這點上頗有造詣.點開數據,查看25端口的數據包
別的不多說了在AUTH LOGIN後的數據包是他郵箱base64後的賬戶,再之後的一個SEND就是他BASE64後的密碼,當然這個軟件還會在你電腦上截圖然後用郵箱發出去
使用Base64解密,得出賬戶
密碼
郵件發送的信息(主機配置和序列號還有解鎖的Key):
打碼?不需要的,大家隨便登錄隨便玩,上foxmail,我們看看有什麼好東西
看來除了我們剛剛測試的還有很多人被鎖了
還有受害者求密碼的,你看別人多直爽
行啊,你不客氣我也不留情,很快呢我翻到了一些有趣的東西
這個郵件,顯然是作者用來自己測試用的郵箱,他把自己大作的源碼傳了上來,OK,既然來了就大家一起開開心心的開源吧。
當然,還有別的好玩的
比如,大黑客測試時IP也給我們了,比如這個電腦名叫Xiaoba的,就是他沒跑了
到這裡,基本大黑客的老底被扒了大半了,我把他的所有郵件都下載下來,當然還是放在附件中,開心麼?如果你認為這樣就結束了?,當然沒有,怎麼可能,我們繼續
筆者首先開了個小號,假裝成受害者給他發郵件
為了顯示我們很”急”我們多發幾封過去.哦,虛擬機再拍張照,顯示我們的”誠意”
現在我們等他上鉤,然後給他點精神上的打擊,沒想到沒想到他快就回了
還想要錢,不給你看點東西你都不知道IT界的殘酷
大黑客突然蒙了,為什麼郵箱被黑了
事已至此,這件事就算是告一段落。恐怕大黑客今晚要睡不著了,這篇文章讓你死個明白。
同時也提醒各位讀者,不要輕易下載安裝陌生軟件,當然,如果遇到了非法侵害,也不要向不法分子低頭,畢竟,正義或許會遲到,但絕對不會缺席。
如果你也對相關技術感興趣,或致力於成為一名白帽子做互聯網安全的守護者,請關注我,會定期更新有用有趣的內容。
閱讀更多 i春秋論壇 的文章
