勒索病毒前世今生之前世————硬盘敲诈者（转载）

吾爱看雪 · 发表于 2018-8-17 01:01

本帖最后由吾爱看雪于 2018-8-17 20:50 编辑

勒索病毒前世今生之前世————硬盘敲诈者（转）

勒索病毒大家已经不陌生了，比如永恒之蓝之类的，但是大家是否了解早期的敲诈病毒呢？
请看下面文章：

病毒分析报告：硬盘敲诈者最新变种svchost.com

病毒名称：硬盘敲诈者　金山：Win32.Troj.QiaoZhaz.b.401759 卡巴：挂
病毒大小：401,759 字节
加壳方式： UPX、 FLYSFX、 NSPACK、 PE_PATCH（四重壳）
指纹效验：
SHA-160    : 17098095217C474FDB49496941A8109914CF86B9
MD5       : 74E76F43F567B32EF30C06BC7EC5710F
RIPEMD-160  : 8531A33DDBE67D3FCBDC43B804237F0EC3221B97
CRC-32    : 26ABE71B
测试平台：win2000PROSP4 + VM
病毒分析：
病毒运行后释放自身到C:\Documents and Settings\All Users\Application Data\Microsoft\下，命名为win1ogon.exe，通过分析病毒还会释放wins.com、飞越星球.scr到C:\windows\system32下，由于测试的是2000平台，没有存在目录，所以病毒无法释放这两个文件，可见病毒没有用环境变量来获取系统目录，有一点ｂｕｇ，哈哈。
病毒会将自身添加开始菜单和注册表常规启动项中，实现自启动；删除注册表键值达到删除文件夹选项的目的；删除注册表键值达到禁用开始菜单一系列命令的目的，被禁用的项目有：关闭计算机、运行、搜索等；删除非Ｃ盘外一切分区的各种文件，不删除文件目录，待文件删除后拷贝自身到该分区中重命名为svch0st.exe，增加autorun.inf文件，设置两个文件为隐藏属性，生成警告.h文件向计算机患者勒索RMB，但是由于病毒修改了txt的文件关联，使之无法查看，通过UE看到“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件”信息；通过分析：病毒修改注册表达到修改屏幕保护时间为1分钟，然后运行病毒的屏蔽程序飞越星球.scr，注册表新建wins相关键值，添加系统服务。
注册表分析：
删除文件夹选项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
此项包括所有键值被删除导致文件夹选项消失。
图片1.png

修改文件关联：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@字符串: "C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\win1ogon.exe"
曾经旧值为：%systemroot%\system32\notepad.exe
导致txt文本文件无法正确打开
增加警告提示框：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticecaption
字符串: "警告:"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticetext
字符串: " 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件"

修改默认屏蔽和屏蔽等待时间：（系统原因未实现）
HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Control Panel\Desktop\ScreenSaveTimeOut
新: 字符串: "60"
旧: 字符串: "900"
HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Control Panel\Desktop\SCRNSAVE.EXE
新: 字符串: "C:\WINDOWS\system32\飞越星球.scr"
开始菜单相关：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose　　　　　　　　　　　　　　　　
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoRun
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\StartMenuLogOff
键值: DWORD: 1 (0x1)
依次取消关机、查找、运行、开始菜单的微软签名。

病毒启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe
字符串: "C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
服务启动项：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WINS \
服务名称：wins
服务描述：WINS为客户提供系统域名解析服务
服务隶属于：LocalSystem
服务映像：C:\windows\system32\wins.com
开启盘符自动播放：
HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
DWORD: 0 (0)
Autorun文件
[AutoRun]
open=SVCH0ST.EXE
shellexecute=SVCH0ST.EXE
shell\Auto\command=SVCH0ST.EXE
解决方法：
用数据恢复程序恢复除C盘的文件，把注册表键值恢复从前，删除病毒释放文件。

hez2010 · 发表于 2018-8-17 12:37

salung 发表于 2018-8-17 10:52
最近勒索病毒变异，主要通过windows自带远程桌面协议端口（3389端口）进行入侵。求怎么破

系统更新至最新版本即可，这些漏洞Windows在更新中早已经修复了

wuwwyu · 发表于 2018-8-17 09:13

yunfeng 发表于 2018-8-17 06:05
我也中过勒索病毒，害得我多年的图片、文档，影片都没有了。这款勒索病毒的后缀名是CRYPT .

以前被勒索的文件能找回来了，解码程序早就发布了

441058243 · 发表于 2018-8-17 01:13

提示: 作者被禁止或删除内容自动屏蔽

凉薄six · 发表于 2018-8-17 01:14

6666666666

冷凯 · 发表于 2018-8-17 01:39

感谢分享

哎黑细作 · 发表于 2018-8-17 02:43

还有吗？？

sdaza · 发表于 2018-8-17 03:21

感谢分享

时光走了你还在 · 发表于 2018-8-17 03:56

感谢分享

愿他们彼此珍惜 · 发表于 2018-8-17 04:23

长知识了。。。

yunfeng · 发表于 2018-8-17 06:05

我也中过勒索病毒，害得我多年的图片、文档，影片都没有了。这款勒索病毒的后缀名是CRYPT .

laoda1228 · 发表于 2018-8-17 06:20

看的好高大上

帐号		自动登录	找回密码
密码			注册[Register]

441058243 441058243 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	441058243 发表于 2018-8-17 01:13 《站点帮助文档》有什么问题来这里看看吧，这里有你想知道的内容！提示: 作者被禁止或删除内容自动屏蔽
	呼吁大家发布原创作品添加吾爱破解论坛标识！
	回复支持举报

[转载] 勒索病毒前世今生之前世————硬盘敲诈者（转载）

免费评分

个人中心