近期360QVM團隊截獲到了一批偽裝成游戲外掛、QQ刷鉆、游戲刷裝備等類型的敲詐軟件。一旦用戶點擊運行,用戶計算機的管理員賬號將被添加或更改密碼,造成用戶計算機無法進行任何操作。如果用戶想要解鎖手機只能聯系惡意軟件界面上留下的QQ號碼并向其進行付費,從而達到勒索用戶資金的目的。
近期我們捕獲到的惡意勒索類軟件主要分為兩種實現方法,其中一種是為計算機用戶添加固定的用戶密碼;另一種是通過當前環境的部分信息進行加密計算后設置系統的用戶密碼,導致無法進入系統操作界面,本文將以一枚隨機算法的樣本進行分析。
樣本信息:
(1)樣本執行流程
樣本首先通過隨機數和取時間進行混合運算后得到密碼,然后通過操作注冊表達到關閉UCA(User Account Control)等功能,再修改用戶密碼并向作者設定好的郵箱中投遞密碼信息用作用戶贖回密碼時提供密碼,最后進行強制關機。
(2)樣本具體行為
樣本啟動后首先對設置自身為開機啟動項,在注冊表內建立
“3.exe”的注冊表項
通過taskkill 來結束卡巴斯基、瑞星、McAfee?等安全軟件來實現保護自身的目的。
對注冊表的相關操作數量過多,將在下文源碼中具體體現。
其中設置注冊表項共計如下:
其中刪除注冊表共計如下:
調用cmd進行添加計算機密碼
對作者預設的郵箱中發送密碼信息,在發送密碼后將進行關機
因為樣本是易語言樣本,根據其特性識別樣本中的支持庫信息并還原源碼,其算法部分如下:
逆向支持庫后還原完整源碼如下:
對付敲竹杠木馬以預防為主,如果不慎中招,推薦使用360安全查詢的敲竹杠木馬開機密碼找回功能(http://fuwu.#/chaxun/qq),我們通過對樣本分析,不斷更新補充敲竹杠木馬的開機密碼庫,在找回開機密碼后請及時全盤掃描殺毒。如遇到無法查到密碼的情況,也歡迎向我們提交樣本反饋。
開機密碼找回步驟:
1、若您的電腦開機出現如下畫面
2、輸入對方留下的聯系QQ號碼
3、立即修改您的密碼(控制面板→用戶賬戶→更改密碼)
在PC領域,“勒索軟件”這個詞在去年一個名為CryptLocker的病毒爆發之后逐漸進入公眾視線,其會將用戶文檔資料全部加密,而用戶必須給黑客支付300美元或0.5比特幣才能找回自己的文檔資料。而在此之后國內也出現了利用添加或修改用戶開機密碼進行勒索的惡意軟件,并且有愈演愈烈地趨勢。這種類型的惡意軟件如果進一步演變,對用戶電腦及電腦上的數據資料都會帶來巨大的安全風險和威脅。我們將密切關注此類惡意軟件的演變趨勢并提供有效的解決方案。