哈哈哈哈，這個勒索軟件笑死我了！

又見勒索軟件

前段時間忙壞了，清明假期得閒，在農村老家放鬆了幾天。

我正在悠閒的垂釣，一個讀者微信上緊急聯繫我說，自己的電腦中了勒索病毒！

自從之前寫過一篇挖礦病毒的文章後，就收到過不少朋友的消息讓我幫忙處理，不過平時上班太忙，很難抽出功夫分析。這次剛好是假期，就收了魚竿回去分析起來（其實是蹲了一下午，魚兒不給面子）。

不分析不知道，一分析把我裂開了，這是我見過最菜的勒索軟件了。

這位讀者把勒索程序發給了我，這是一個用易語言寫的程序，從名字上看起來好像是用來批量註冊QQ號的，還附帶了一個說明文檔：

好傢伙，居然還騙使用者把安全軟件關掉，理由是容易被當病毒給關閉，這一波僞裝666。

好啦，咱們在虛擬機裏面執行一下這個程序看看：

一執行屏幕就黑了，全屏出現了上面這個界面。

引導語還很氣人：30元解鎖，比你花幾百塊刷機強，挺囂張啊！

最神奇的是居然還留下了QQ聯繫方式，這病毒製作者看來也是新手，就憑這QQ號，網警分分鐘就能找上門。

我沒有給這個QQ號打碼，因爲我在QQ上搜了這個號碼，已經搜索不到了，不知是已經被端了，還是自己害怕了設置了不允許被搜索到。

接下來，我發現了一個很有意思的現象：我的虛擬機是在macpro上的vmware fusion上面，當我從虛擬機切到Mac系統的屏幕再切回去時發現，虛擬機中Windows的分辨率自動給我重置了。

這一重置不要緊，剛剛這個勒索軟件一下子只有半截了，露出了本來面目：原來就是一個全局置頂的窗口，還沒有跟隨系統分辨率的變化自動調整窗口大小，也是太菜了。

現在這問題就簡單了，直接調出任務管理器，把這貨的進程殺掉就行了！

不過考慮到我這是在vmware fusion虛擬機中，才自動調整分辨率，在真實的電腦上，中招的電腦上沒有機會調整分辨率，也沒法操作把任務管理器給調出來，所以還得看看有沒有其他破解之道。

我打算重啓後看看這傢伙有沒有加入開機自啓動。

我重啓了虛擬機，發現這貨居然給我添加了1個admin用戶進去，還給我原來的默認用戶Administrator添加了密碼！！！

這下好了，真進不去了！

好了，接下來開始啓動分析，摸摸這勒索軟件的斤兩。

分析過程

我先把目標鎖定在了添加用戶這部分，因爲得先能進入系統纔好調試分析。雖說這軟件是用易語言編寫，但實際上最終都是會調用Win32的一堆API，所以我開始搜索程序的導入表中與用戶添加相關的API：

搜尋了一圈發現這軟件並沒有是用上面的任何函數，那它是咋添加的用戶？

我改變了策略，它不是要添加用戶嗎，用戶不是叫admin嘛，那我搜索程序中有admin相關的字符串。這一搜驚掉了我的下巴：

看來我太高估這個程序了，不用什麼Win32 API，直接調用cmd執行命令就行了。

而且，命令啥的這麼重要的信息完全明文暴露，密碼也就真相大白了：

• admin: asdfghjkl
• Administrator: 69

admin的密碼我好理解，就是鍵盤上A鍵開頭的那一排英文字母嘛，可這個Administrator的密碼爲什麼是69，69是什麼意思？我到現在都沒想明白。

持着懷疑的態度，輸入上面的密碼，還真給進去了，這也太菜了X2~~

不過一進去，馬上又彈出了那個黑色的勒索界面，看來還真是加入了開機啓動項。

我隨意輸入了一些密碼，都是提示密碼錯誤，看來還得再琢磨一下它的密碼是如何校驗的。

這種情況，一般都是先定位到執行密碼校驗的部分，然後分析判斷邏輯。

定位的方法在這裏可以給GetWindowText和SetWindowText下斷點，這倆函數分別是獲取密碼輸入框的內容和設置“密碼錯誤”的提示。

通過兩個函數的調用堆棧，往前倒推，執行密碼校驗的部分很快就能圈定。

不過還沒等我用上面的方法來分析，這個勒索軟件真正讓我裂開的地方出現了，我在“密碼錯誤！”的提示字符串旁邊，看到了另外一串字符，跟Administrator的密碼一樣，也是asdfghjkl。

這會是個啥，我懷着試試的態度，輸入到了密碼輸入框，點擊確定，居然奇蹟般的解開了鎖定！30元的勒索密碼就這樣明文躺在錯誤提示的旁邊，你敢信？

這勒索軟件也太菜了X3！

教你幾招

言歸正傳，懂技術的人能看出，這勒索軟件做的確實不入流，技術一般也就罷了，還明目張膽的暴露了自己。不過，這軟件菜歸菜，如果是普通用戶遇到了，還確實是件比較頭疼的事情。

接下來軒轅這裏介紹幾招，遇到了一般的勒索軟件不要慌。

安全模式

安全模式是Windows提供的一種啓動模式，在這種模式下，普通的開機自啓動程序都不會執行，很多驅動程序也不會加載，是一個相對乾淨的環境，你可以進入這個環境下刪除病毒程序。

U盤進入

安全模式也不是萬能的，有些比較厲害的程序，即使進入安全模式也會運行，這種情況下就得另闢蹊徑。

針對這種級別的入侵，可以選擇像用U盤安裝系統那樣，使用U盤製作一個啓動盤，修改BIOS中的引導項，使用U盤引導。

開機後，直接進入U盤中的WinPE環境，這是一個用於預安裝的小型系統，進入這個環境清除掉硬盤上的勒索軟件程序。

最後的最後，還是老生常談了，重要的數據多備份，雲盤、移動硬盤、電腦都存着，狡兔還三窟呢，應對勒索軟件，備份纔是王道！

本文分享自微信公衆號 - 五分鐘學算法（CXYxiaowu）。
如有侵權，請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”，歡迎正在閱讀的你也加入，一起分享。