0x01 概況

---

近期360QVM團隊截獲到了一批偽裝成遊戲外掛、QQ刷鑽、遊戲刷裝備等型別的敲詐軟體。一旦使用者點選執行，使用者計算機的管理員賬號將被新增或更改密碼，造成使用者計算機無法進行任何操作。如果使用者想要解鎖手機只能聯絡惡意軟體介面上留下的QQ號碼並向其進行付費，從而達到勒索使用者資金的目的。

0x02 樣本分析

---

近期我們捕獲到的惡意勒索類軟體主要分為兩種實現方法，其中一種是為計算機使用者新增固定的使用者密碼；另一種是透過當前環境的部分資訊進行加密計算後設定系統的使用者密碼，導致無法進入系統操作介面，本文將以一枚隨機演算法的樣本進行分析。

樣本資訊：

• MD5:FD71FA7B8B9282618E050653464611F4
• SHA1:C0126EACC1D50F0F7BBE3C1303EA61154688AC4B

(1)樣本執行流程

樣本首先透過隨機數和取時間進行混合運算後得到密碼，然後透過操作登錄檔達到關閉UCA(User Account Control)等功能，再修改使用者密碼並向作者設定好的郵箱中投遞密碼資訊用作使用者贖回密碼時提供密碼，最後進行強制關機。

(2)樣本具體行為

樣本啟動後首先對設定自身為開機啟動項，在登錄檔內建立

“3.exe”的登錄檔項

透過taskkill 來結束卡巴斯基、瑞星、McAfee 等安全軟體來實現保護自身的目的。

對登錄檔的相關運算元量過多，將在下文原始碼中具體體現。

其中設定登錄檔項共計如下：

其中刪除登錄檔共計如下：

呼叫cmd進行新增計算機密碼

對作者預設的郵箱中傳送密碼資訊，在傳送密碼後將進行關機

因為樣本是易語言樣本，根據其特性識別樣本中的支援庫資訊並還原原始碼，其演算法部分如下：

逆向支援庫後還原完整原始碼如下：

0x03 解決方案

---

對付敲竹槓木馬以預防為主，如果不慎中招，推薦使用360安全查詢的敲竹槓木馬開機密碼找回功能(http://fuwu.360.cn/chaxun/qq)，我們透過對樣本分析，不斷更新補充敲竹槓木馬的開機密碼庫，在找回開機密碼後請及時全盤掃描防毒。如遇到無法查到密碼的情況，也歡迎向我們提交樣本反饋。

開機密碼找回步驟:

1、若您的電腦開機出現如下畫面

2、輸入對方留下的聯絡QQ號碼

3、立即修改您的密碼(控制皮膚→使用者賬戶→更改密碼)

0x04 總結

---

在PC領域，“勒索軟體”這個詞在去年一個名為CryptLocker的病毒爆發之後逐漸進入公眾視線，其會將使用者文件資料全部加密，而使用者必須給駭客支付300美元或0.5比特幣才能找回自己的文件資料。而在此之後國內也出現了利用新增或修改使用者開機密碼進行勒索的惡意軟體，並且有愈演愈烈地趨勢。這種型別的惡意軟體如果進一步演變，對使用者電腦及電腦上的資料資料都會帶來巨大的安全風險和威脅。我們將密切關注此類惡意軟體的演變趨勢並提供有效的解決方案。