白帽黑客：解密两款最流行的锁机病毒

0x00 前言

自2014年来，各种就敲竹杠锁机虽出不穷，刚开始以娱乐为主，后以勒索为目的，其方式变化多端，毫不夸张地说，此类样本很可能己达到千万级，成为流行病毒的重要一部分。

类型从bat (批处理)一（vbe）一exe(可执行程序)。其中exe可分为不加壳，加普通壳一一加强壳。其中保护壳的功能各有不同，如反虚拟机、反沙箱(盒)、反影子。其目的就是为了加大安全人员分析的难度。勒索方式有用户锁、屏幕锁、MBR逻辑锁。勒索金额各不相同。起初bat、vbe类主要是以net user管理员账户来修改，因当时大多数杀软对样本调用的cmd命令行不阻止，有很多人中招初代的exe类也是如此。屏幕锁是使软件显示于最上层（类似于游戏全屏），通过各种手段阻止用户退出并要求输入密码，以此来勒索用户。而MBR逻辑锁是通过修改MBR，使用户无法进入操作系统，停留在引导界面并要求输入密码，以此来勒索。下面，我们正式进入分析。

0x01本地随机数

这样称是因为样本的算法在本身中，随机ID匹配对应的密码，作者通过算法即可算出密码。这里以柠檬锁机为例。

样本信息

中招效果

原理就是写入MBR

在虚拟机环境中，双击样本。通过弹窗“请不要在虚拟机中运行程序”标题是SE壳的名称。

SE壳是目前保护壳中最难破解的，所以我们请来了逆向dalao——sound来帮助我们分析。通过一会的的逆向分析，找到了OEP入口点。据他说是利用脚本就可以直接跑出OEP的，这个脚本他曾经发布过，有兴趣的可以自己找找看。

找到了OEP入口点，也就是说，我们成功对程序进行了解压缩。这时候已经开始运行真正的程序了。通过分析算法，得到结果如下：有两个随机数，一个取md5，一个取16进制大写。然后与固定参数25572参与运算，转换为md5，取前10位，再取一次md5前16位，最后得到密码，并且都是大写的。破解该锁后，作者声称无法破解的幻想已经破灭。

0x02网络随机数

这样称只是为了方便辨识，而不是算法在服务器上。其原理就是将本地算法生成的ID与密码发送到服务器/邮件上这里以蜗牛锁机为例。MBR界面上届有两个QQ号QQ名为主号或备用号，头像为动漫人物的锁机，一定是该作者编写的。因中的人数众多，我们对该样本进行深入分析。

以下是详细信息

360天眼情报系统情报

中招情况

通过行为分析工具分析得，该样本仅为一个下载器，会从服务器上下载真正的锁机，以此来达到免杀的目的。但笔者下载了作者服务器上的样本，被360 QVM报毒。说明360在联网情况下，支持查杀该样本的变种。

下载器情况

将样本在虚拟机内运行分析，样本弹窗提示请勿在虚拟机内运行，因为样本加的是SE壳，所以使用分析工具进行运行分析。

样本运行流程

SE壳弹窗提示

绕过之后就可以看到前面样本的下载地址了

那怎么绕过的SE壳的虚拟机检测呢？

因为是dalao帮忙分析的，他的方法我们不得而知。但是我还是有一个办法可以绕过SE壳的虚拟机检测的。这个办法是从pxhb大佬那里学来的。我贴在这里：

第一处：

特征码81 7D E4 68 58 4D 56

cmp dword ptr ss:[ebp-0x1Ch],0x564D5868h //将564D5868 任意修改

jnz L0069B0FF

push -0x4h

pop eax

jmp L0069B101

L0069B0FF:

xor eax,eax

L0069B101:

call L006B3C4C

retn//这里把eax赋值0也可以

原理：in eax,dx这个大家都知道

第二处：

特征码55 8B EC 83 EC 14

push ebp//直接mov eax,0 retn

mov ebp,esp

sub esp,0x14h

push ebx

push esi

jmp L0069AFA9

原理：关键部分vm了

作者使用的是stmp邮件服务器

我登陆上作者的邮箱，得到锁机的密码。

分析到此结束

另外，截至文章发表前，病毒作者作者加入了对火绒的检测，也就是说，在安装火绒的电脑上不运行。但是，这并没有什么用。

0x03 总结

中此类病毒的原因，大多数都是为了贪小便宜，体验开外挂得到的乐趣。但也有些人，轻信作者所谓的“误报”选择关掉杀软，我就把他归结为智商问题。遇不放心的软件放到虚拟机运行，要是虚拟机运行不了，那就是软件作者对软件采取了反虚拟机措施。这时候，你运行这个软件就得小心了。