哈哈哈哈，這個勒索軟件笑死我了！

我正在悠閑的垂釣，一個讀者微信上緊急聯(lián)系我說，自己的電腦中了勒索病毒！

自從之前寫過一篇挖礦病毒的文章后，就收到過不少朋友的消息讓我?guī)兔μ幚恚贿^平時上班太忙，很難抽出功夫分析。這次剛好是假期，就收了魚竿回去分析起來（其實是蹲了一下午，魚兒不給面子）。

不分析不知道，一分析把我裂開了，這是我見過最菜的勒索軟件了。

這位讀者把勒索程序發(fā)給了我，這是一個用易語言寫的程序，從名字上看起來好像是用來批量注冊QQ號的，還附帶了一個說明文檔：

好家伙，居然還騙使用者把安全軟件關(guān)掉，理由是容易被當病毒給關(guān)閉，這一波偽裝666。

好啦，咱們在虛擬機里面執(zhí)行一下這個程序看看：

一執(zhí)行屏幕就黑了，全屏出現(xiàn)了上面這個界面。

引導(dǎo)語還很氣人：30元解鎖，比你花幾百塊刷機強，挺囂張啊！

最神奇的是居然還留下了QQ聯(lián)系方式，這病毒制作者看來也是新手，就憑這QQ號，網(wǎng)警分分鐘就能找上門。

我沒有給這個QQ號打碼，因為我在QQ上搜了這個號碼，已經(jīng)搜索不到了，不知是已經(jīng)被端了，還是自己害怕了設(shè)置了不允許被搜索到。

接下來，我發(fā)現(xiàn)了一個很有意思的現(xiàn)象：我的虛擬機是在macpro上的vmware fusion上面，當我從虛擬機切到Mac系統(tǒng)的屏幕再切回去時發(fā)現(xiàn)，虛擬機中Windows的分辨率自動給我重置了。

這一重置不要緊，剛剛這個勒索軟件一下子只有半截了，露出了本來面目：原來就是一個全局置頂?shù)拇翱?/strong>，還沒有跟隨系統(tǒng)分辨率的變化自動調(diào)整窗口大小，也是太菜了。

現(xiàn)在這問題就簡單了，直接調(diào)出任務(wù)管理器，把這貨的進程殺掉就行了！

不過考慮到我這是在vmware fusion虛擬機中，才自動調(diào)整分辨率，在真實的電腦上，中招的電腦上沒有機會調(diào)整分辨率，也沒法操作把任務(wù)管理器給調(diào)出來，所以還得看看有沒有其他破解之道。

我打算重啟后看看這家伙有沒有加入開機自啟動。

我重啟了虛擬機，發(fā)現(xiàn)這貨居然給我添加了1個admin用戶進去，還給我原來的默認用戶Administrator添加了密碼！！！

這下好了，真進不去了！

好了，接下來開始啟動分析，摸摸這勒索軟件的斤兩。

分析過程

我先把目標鎖定在了添加用戶這部分，因為得先能進入系統(tǒng)才好調(diào)試分析。雖說這軟件是用易語言編寫，但實際上最終都是會調(diào)用Win32的一堆API，所以我開始搜索程序的導(dǎo)入表中與用戶添加相關(guān)的API：

搜尋了一圈發(fā)現(xiàn)這軟件并沒有是用上面的任何函數(shù)，那它是咋添加的用戶？

我改變了策略，它不是要添加用戶嗎，用戶不是叫admin嘛，那我搜索程序中有admin相關(guān)的字符串。這一搜驚掉了我的下巴：

看來我太高估這個程序了，不用什么Win32 API，直接調(diào)用cmd執(zhí)行命令就行了。

而且，命令啥的這么重要的信息完全明文暴露，密碼也就真相大白了：

• admin: asdfghjkl
• Administrator: 69

admin的密碼我好理解，就是鍵盤上A鍵開頭的那一排英文字母嘛，可這個Administrator的密碼為什么是69，69是什么意思？我到現(xiàn)在都沒想明白。

持著懷疑的態(tài)度，輸入上面的密碼，還真給進去了，這也太菜了X2~~

不過一進去，馬上又彈出了那個黑色的勒索界面，看來還真是加入了開機啟動項。

我隨意輸入了一些密碼，都是提示密碼錯誤，看來還得再琢磨一下它的密碼是如何校驗的。

這種情況，一般都是先定位到執(zhí)行密碼校驗的部分，然后分析判斷邏輯。

定位的方法在這里可以給GetWindowText和SetWindowText下斷點，這倆函數(shù)分別是獲取密碼輸入框的內(nèi)容和設(shè)置“密碼錯誤”的提示。

通過兩個函數(shù)的調(diào)用堆棧，往前倒推，執(zhí)行密碼校驗的部分很快就能圈定。

不過還沒等我用上面的方法來分析，這個勒索軟件真正讓我裂開的地方出現(xiàn)了，我在“密碼錯誤！”的提示字符串旁邊，看到了另外一串字符，跟Administrator的密碼一樣，也是asdfghjkl。

這會是個啥，我懷著試試的態(tài)度，輸入到了密碼輸入框，點擊確定，居然奇跡般的解開了鎖定！30元的勒索密碼就這樣明文躺在錯誤提示的旁邊，你敢信？

這勒索軟件也太菜了X3！

教你幾招

言歸正傳，懂技術(shù)的人能看出，這勒索軟件做的確實不入流，技術(shù)一般也就罷了，還明目張膽的暴露了自己。不過，這軟件菜歸菜，如果是普通用戶遇到了，還確實是件比較頭疼的事情。

接下來軒轅這里介紹幾招，遇到了一般的勒索軟件不要慌。

安全模式

安全模式是Windows提供的一種啟動模式，在這種模式下，普通的開機自啟動程序都不會執(zhí)行，很多驅(qū)動程序也不會加載，是一個相對干凈的環(huán)境，你可以進入這個環(huán)境下刪除病毒程序。

U盤進入

安全模式也不是萬能的，有些比較厲害的程序，即使進入安全模式也會運行，這種情況下就得另辟蹊徑。

針對這種級別的入侵，可以選擇像用U盤安裝系統(tǒng)那樣，使用U盤制作一個啟動盤，修改BIOS中的引導(dǎo)項，使用U盤引導(dǎo)。

開機后，直接進入U盤中的WinPE環(huán)境，這是一個用于預(yù)安裝的小型系統(tǒng)，進入這個環(huán)境清除掉硬盤上的勒索軟件程序。

最后的最后，還是老生常談了，重要的數(shù)據(jù)多備份，云盤、移動硬盤、電腦都存著，狡兔還三窟呢，應(yīng)對勒索軟件，備份才是王道！