我的朋友张狗蛋,江湖人称不开挂不舒服斯基,他的乐趣是在网上找一堆黑科技,好在游戏里享受那种神仙打架的快感。某天他又不知道从哪个群里下载了一个名叫xx自瞄透视什么的软件。不想到刚运行完他的电脑就蓝屏重启了,然后就变成了这个样子。
当然,下面是可以输入密码的,像这样:
不过要是你没有输对密码,那么恐怕你就没办法进入系统了。显而易见的,张狗蛋运行的是一个勒索病毒,这回他恐怕当不成神仙了。
相信看到这里各位看官中的不少就开始拍大腿了,我当初也有和张狗蛋一样的人生经历啊!相信有不少人真照着屏幕上的提示给这个勒索软件开发者交了一笔学费,但是我好气啊,我好怨啊,我好想报复啊!不过又没办法,只能照着屏幕上的提示,被勒索一笔钱财。
其实各位看官现在看到的,正是当下非常常见的一款勒索病毒的形式,还有一种异曲同工之妙的是运行后你的windows会莫名其妙的被加上密码,变成类似下面这个样子:
总之天上是不会掉馅饼的,中招的小伙伴应该有大半是为了贪小便宜而中招的,这类勒索软件大多会伪装成某种游戏的外挂或者号称能给你捞到些好处,并且在运行之前,都会口口声声说必须关闭*毒软件否者不能使用之类的云云。
但本篇文章的目的并不是要告诉大家如何防范这类病毒,这种东西反正网上很多,也没多少人愿意看,今天应往期读者邀请,写一些大家喜闻乐见大仇得报的,同时,已经中招的小伙伴也可以按照这篇文章的内容破解勒索病毒,没有中招但天天窝在被窝里唱我的寂寞谁的错的小伙伴也可以按照本文给出的方法自行娱乐,不用担心,我们的口号是三分钟入门,十分钟学会,半小时精通。
那么我们到底要做什么呢?没错,我们要做的就是把这些勒索软件的老底都翻出来,然后找到这款勒索软件的作者,好好的嘲讽一番,让大黑客们今晚气的睡不着,我们的目的也就达到了(当然,相关截图证据都已送交对应举报中心,据完稿为止几个大黑客已经被封号处理了,如果读者中已经有蒙受经济损失的小伙伴,建议立即报警!).
调戏前的准备工作
其实故事的起因是笔者的一个朋友告诉笔者,他的电脑变成了就是狗蛋那个样子(当然狗蛋是虚构的),其实这类勒索软件的制作者绝大多数都是一些不满20岁的中二病熊孩子,另外还有一些是20-30岁左右对计算机那么一知半解半桶水但脑子里全是歪门邪道的菜逼,简单来说就是脚本小子,这类勒索软件的勒索代码,几乎都是千篇一律,其中的过半数都是某种工具生成出来的,另外不然就是易语言这种神奇的中二病语言制作出来的,不过请放心,要破解这类勒索软件大多的情况下都非常的简单,还记得之前说所的三分钟入门,十分钟学会,半小时精通么,这个真不是吹牛。
当然,工欲善其事必先利其器,如果读者也打算自己练练手那么下面几个软件需要先行安装。
1.VMWare 这是一个虚拟机软件,安装的过程笔者就不复述了,网上非常多,这款软件的作用就是能够"虚拟一台"电脑,我们的病毒程序样本都放在虚拟机中运行,防止对我们的物理机破坏
2.PeDoll 这是一个行为分析软件集(应该说不仅仅是行为分析软件),用来对恶意软件进行分析,它能够简化很多的逆向分析工作,甚至还具有"免疫"多数加壳加花反分析的的能力,当然目前这款软件已经开源了,在看官要是搞不懂下载下来照着做就行了,这款软件不需要任何安装,直接下载解压就可以使用了。
3.勒索软件样本若干。笔者从某个朋友那一共弄了5个典型(调戏)的样本,当然,每个样本都对应一个"勒索大黑客"。这一期只讲前两个
那么假如你完成了上面的准备工作后,你就可以和笔者一起玩耍了,假如你不想自己动手,那么可以准备好瓜子饼干进入看戏模式了。
大黑客一号:不给钱,那就锁着吧
大黑客一号行走江湖多年,练就了一身大哥大的王者风范,术语之专业勒索之老练,无不透露着"大黑客"的霸气,乃至于吓得我都差点交了保护费了。
在此之前,我们先来看看勒索软件样本,这个样本解压出来后是一个叫"狙击手"的软件,旁边还配了一张并没有什么卵用的教程图片,笔者将这个软件重命名为样本.exe
我们打开虚拟机,将这个狙击手样本.exe和pedollà调试机程序下的所有文件都复制黏贴到虚拟机当中.
完成后应该是这个样子
右键以管理员身份运行pedolls.exe
切回回物理机,在pedollà控制器文件夹中运行pedollc.exe
选择菜单->监视器->然后填写虚拟机里pedolls上显示的IP地址,在上上张图中我们可以看到这个地址是192.168.44.128
点击 菜单à规则à加载规则脚本然后在常用脚本文件夹中选中勒索程序调试
在菜单栏点击
之后,从左到右依次点击下面几个按钮
不出意外,你应该会看到这个窗口
在命令窗口输入hook WriteFile 注意大小写,回车
然后一直点击执行,之后解密应该变成这个样子的
同时,我们的虚拟机也"顺利"被勒索病毒锁上了
在pedoll下菜单中点击数据,同时选中并双击第二个数据包
那么密码在哪呢,其实密码就在右边窗口Y[到.的部分
也就是说,这个勒索病毒的密码是1617asdasd,如果你仍然不清楚如何操作,那么下面的视频是演示步骤.整个过程只需要2分钟的时间就能学会
行了,既然密码破解了我们也要准备去拜访一下这位大黑客了,我们伪装成受害者的样子,加这位大黑客,为了装的像一点,我用手机拍了一张虚拟机的锁机平面
这位显然是一位自信爆棚的大黑客,不仅勒索起来轻车熟路还打着招收徒弟的名号,打算培养更多的大黑客来做这一行当.大黑客很快给出了他的价码
既然要装我们就装的像一点呗.讲价行不行
显然大黑客还不答应,还打起了信誉第一,就凭你别侮辱信誉这个词了.玩的差不多了,开嘲讽
大黑客很快和皮球一样发飙了
估计这个大黑客今天心情都不美丽了,笔者将它的信息发在某群中,很快鹅厂的朋友送他了冻结套餐,但世界怎么就那么小呢,在调戏完这名大黑客之后.又收到了他的样本,继续嘲讽一波
不过大黑客没有回话.估计这个QQ号已经凉了.
大黑客二号:我家楼下算命的都比你强
样本2笔者拿到时名叫"穿越火线无限子弹",其实久闻这款游戏乃各路龙傲天中二病聚集地,相信这个勒索程序中招的也不少。图标上还写着"意发科技"四个字,也不知道是哪个中二病创建的"毁灭世界"的组织,这些就不吐槽了,和第一个样本一样将这个样本和pedolls.exe一起复制到虚拟机。
重复上述步骤,直到输入hook WriteFile那一步,接下来的都不用做了,因为密码已经显示在PeDoll的监视窗口中了。
在administrator后面的文本就是密码了,没错,就是123321
试验一下,看来没错
好了,密码有了我们继续去找这个QQ叫3450420774的麻烦。老套路使用小号伪装成受害者加了这位大黑客
这个大仙不知道为什么还问我几岁,当然是永远的18岁,他企图敲诈50块,当然笔者也不是省油的灯,砍价到5块
显然那么大的*价大黑客不开心了,不开心就不开心呗,我找楼下算命的试试
大黑客显然不愿意放过这门生意,看来穷疯了5块钱也不放过,笔者说,算命的说只要2块,然后把我们的密码报过去。
看着大黑客一脸不敢相信的样子,我们继续挑逗
估计他这个水准,密码破解估计不用1分钟,不过大黑客似乎没给我这个算命先生这个机会,我被拉黑了。
后记
那么各位看的过瘾否,当然,现在仍然有一堆中二病大黑客还在从事这勒索的损人利己的勾当,不过多行不义必自毙,对付这类渣滓,不需要留情面。
当然,如果你是这类病毒的受害者,那么你可以通过上述办法破解出密码。
如果你对网络安全感兴趣,或者希望看到后续,那么请关注我,文章会继续更新。
