前言在过完年动工之际,黑产从业者也返回了他们的工作岗位上,在短短的一周内,陆续愈演愈烈了“纵情”敲诈者以及伪装成QQ飞车外挂的“MBR”敲诈者两款国产敲诈者木马。国产敲诈者在诈骗金额,技术手段以及加密方式上都相比之下领先于国外的敲诈者木马,但国产敲诈者的仅次于优点就是能把握住卖点,比如以游戏外挂作为噱头。
除此之外,国产敲诈者还讨厌诱导用户重开杀死硬以超过所谓的“最佳体验”。可以说道,国产敲诈者胜在了“套路”。
本文分析的国产敲诈者即为假造QQ飞车外挂的“MBR”敲诈者。据受害者称之为,想要用于该QQ飞车外挂软件就必需输出注册码,在向某群管理员索要注册码并输出登记后,计算机立刻并被锁,拒绝加到一QQ号(3489709452)提供关卡密码。受害者计算机如下图右图。
图1 受害者计算机界面可见,计算机未长时间启动,受害者遭遇的就是少见的“MBR”锁住。样本分析返回最初的QQ飞车外挂,外挂界面很少见,必须输出注册码才能长时间用于。图2 外挂界面细观该外挂界面,找到其和某盾加密处置后的程序界面相近,迭代字符串也能找到一些与某盾加密涉及的字符串。因此可以推断该外挂软件用于某盾加密维护,使用者只有输出准确的注册码才能取得适当的功能。
由于某盾加密强度低,在不持有人密码的情况下很难对受保护的软件展开密码,这也造成外挂使用者必须去找管理员要打开密码的情况。迫切渴求用于外挂的受害者们在获得打开密码一定是欣喜若狂的,他们一定不告诉打开后才是噩梦的开始。前面提及了某盾加密“在不持有人密码的情况下很难对受保护的软件展开密码”,之所以提到“不持有人密码的情况下”,是因为即使在享有密码的情况下,某盾加密对程序的维护也较为类似。在本例中,进程不会在同目录下创立一个取名为“飞车通杀辅助VIP2.exe”的程序,并调用ShellExecute函数运营该程序。
图3 运营“飞车通杀辅助VIP2.exe”但实质上,在磁盘中,也就是该路径下并不不存在这个文件。这也是某盾加密为了避免加密视频播出时被萃取而采行的策略。某盾加密不会调用自身SDK中取名为“CreateVirtualFileA”的函数在内存中创立文件,而不是必要让文件“落地”,这只不过也略为增大了分析的可玩性,分析者必需对程序展开patch以使创立的文件“落地”。patch的方位即“CreateVirtualFileA”函数。
根据某盾加密逻辑,程序不会首先调用“CreateVirtualFileA”函数创立虚拟世界文件,然后用于WriteFile函数将解密后的数据载入文件。用于CreateFile函数patch丢弃“CreateVirtualFileA”可使文件落地。如图所示。图4 patch前图6 “落地”的恶意程序该程序也是一款自定义的程序,可以显现出作者只是将一些自定义的模块拼凑一起包含一个敲诈者木马。
从字符串中可以显现出,自定义者可以自定义MBR加密的密码以及表明在屏幕上的文字。图7 回应可以自定义自定义的字符串之后就是常规的锁住MBR流程,关上磁盘0并加载前512字节,也就是主引领记录。图8 关上磁盘0图9 加载主引领记录之后程序不会将原本的主引领代码留存到磁盘0位移0x400接续的方位,该方位是磁盘0的第三扇区。
此举用作备份初始的MBR代码,当受害者输出准确的密码之后,就不会将备份的MBR代码完全恢复到第一扇区中,以保证系统需要长时间启动。图10 设置位移图11 备份最初的MBR代码之后程序就不会改动主引领记录,改动后的主引领记录如下图右图。
图12 被伪造的MBR代码反汇编MBR代码可以看见密码较为的流程以及之后的处置流程。首先通过int 16h中断提供用户输出,并将存储输出结果。图13 提供并存储输出图14 较为输出与密码通过查阅存放在密码的地址可以找到密码为“ O0 ” (即空格,大写字母O,数字0,空格)。
在核对顺利之后,将通过int 13h中断加载存储在第3扇区的最初的MBR代码并将其载入到第1扇区,以完全恢复系统的长时间用于。图15 完全恢复MBR总结通过该样本可以显现出,国产敲诈者在技术上并不高深,而且习惯于拼凑各种软件或模块,以超过其蓄意目的。这些模块虽然相互独立国家且功能受限,但经过人组之后沦为一个功能强大且自保能力强劲的恶意软件。
而这些国产敲诈者也牢牢地逃跑一些特定用户的注意力,戴着外挂的外衣腊这坏事,让人措手不及。对于陌生的软件,用户应当勤点,在中毒后也不要只能加到qq交付给赎金,应杀死硬方面展开及时对系统以完全恢复系统的用于。360安全卫士独家发售了“反勒索服务”,用户在加装360安全卫士并打开该服务的情况下,如果以防不了各类敲诈者病毒,360负责管理替用户支付赎金。原创文章,予以许可禁令刊登。
下文闻刊登须知。
本文来源:新葡萄最新官网-www.theninjaapproved.com