白帽黑客:解密两款最流行的锁机病毒

0x00 前言

自2014年来,各种就敲竹杠锁机虽出不穷,刚开始以娱乐为主,后以勒索为目的,其方式变化多端,毫不夸张地说,此类样本很可能己达到千万级,成为流行病毒的重要一部分。

类型从bat (批处理)一(vbe)一exe(可执行程序)。其中exe可分为不加壳,加普通壳一一加强壳。其中保护壳的功能各有不同,如反虚拟机、反沙箱(盒)、反影子。其目的就是为了加大安全人员分析的难度。勒索方式有用户锁、屏幕锁、MBR逻辑锁。勒索金额各不相同。起初bat、vbe类主要是以net user管理员账户来修改,因当时大多数杀软对样本调用的cmd命令行不阻止,有很多人中招初代的exe类也是如此。屏幕锁是使软件显示于最上层(类似于游戏全屏),通过各种手段阻止用户退出并要求输入密码,以此来勒索用户。而MBR逻辑锁是通过修改MBR,使用户无法进入操作系统,停留在引导界面并要求输入密码,以此来勒索。下面,我们正式进入分析。

0x01本地随机数

这样称是因为样本的算法在本身中,随机ID匹配对应的密码,作者通过算法即可算出密码。这里以柠檬锁机为例。

样本信息

中招效果

原理就是写入MBR

在虚拟机环境中,双击样本。通过弹窗“请不要在虚拟机中运行程序”标题是SE壳的名称。

SE壳是目前保护壳中最难破解的,所以我们请来了逆向dalao——sound来帮助我们分析。通过一会的的逆向分析,找到了OEP入口点。据他说是利用脚本就可以直接跑出OEP的,这个脚本他曾经发布过,有兴趣的可以自己找找看。

找到了OEP入口点,也就是说,我们成功对程序进行了解压缩。这时候已经开始运行真正的程序了。通过分析算法,得到结果如下:有两个随机数,一个取md5,一个取16进制大写。然后与固定参数25572参与运算,转换为md5,取前10位,再取一次md5前16位,最后得到密码,并且都是大写的。破解该锁后,作者声称无法破解的幻想已经破灭。

0x02网络随机数

这样称只是为了方便辨识,而不是算法在服务器上。其原理就是将本地算法生成的ID与密码发送到服务器/邮件上这里以蜗牛锁机为例。MBR界面上届有两个QQ号QQ名为主号或备用号,头像为动漫人物的锁机,一定是该作者编写的。因中的人数众多,我们对该样本进行深入分析。

以下是详细信息

360天眼情报系统情报

中招情况

通过行为分析工具分析得,该样本仅为一个下载器,会从服务器上下载真正的锁机,以此来达到免杀的目的。但笔者下载了作者服务器上的样本,被360 QVM报毒。说明360在联网情况下,支持查杀该样本的变种。

下载器情况

将样本在虚拟机内运行分析,样本弹窗提示请勿在虚拟机内运行,因为样本加的是SE壳,所以使用分析工具进行运行分析。

样本运行流程

SE壳弹窗提示

绕过之后就可以看到前面样本的下载地址了

那怎么绕过的SE壳的虚拟机检测呢?

因为是dalao帮忙分析的,他的方法我们不得而知。但是我还是有一个办法可以绕过SE壳的虚拟机检测的。这个办法是从pxhb大佬那里学来的。我贴在这里:

第一处:

特征码81 7D E4 68 58 4D 56

cmp dword ptr ss:[ebp-0x1Ch],0x564D5868h //将564D5868 任意修改

jnz L0069B0FF

push -0x4h

pop eax

jmp L0069B101

L0069B0FF:

xor eax,eax

L0069B101:

call L006B3C4C

retn//这里把eax赋值0也可以

原理:in eax,dx这个大家都知道

第二处:

特征码55 8B EC 83 EC 14

push ebp//直接mov eax,0 retn

mov ebp,esp

sub esp,0x14h

push ebx

push esi

jmp L0069AFA9

原理:关键部分vm了

作者使用的是stmp邮件服务器

我登陆上作者的邮箱,得到锁机的密码。

分析到此结束

另外,截至文章发表前,病毒作者作者加入了对火绒的检测,也就是说,在安装火绒的电脑上不运行。但是,这并没有什么用。

0x03 总结

中此类病毒的原因,大多数都是为了贪小便宜,体验开外挂得到的乐趣。但也有些人,轻信作者所谓的“误报”选择关掉杀软,我就把他归结为智商问题。遇不放心的软件放到虚拟机运行,要是虚拟机运行不了,那就是软件作者对软件采取了反虚拟机措施。这时候,你运行这个软件就得小心了。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181123B0R3H200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券