i春秋作家：MUSYIDA

对两款流行锁机的分析

0x00 前言

据我所知，自2014年来，各种就敲竹杠锁机虽出不穷，刚开始以娱乐为主，后以勒索为目的，其方式变化多端，毫不夸张地说，此类样本很可能己达到千万级，成为流行病毒的重要一部分。 类型从bat (批处理)一（vbe）一exe(可执行程序)。其中exe可分为不加壳，加普通壳一一加强壳。其中保护壳的功能各有不同，如反虚拟机、反沙箱(盒)、反影子。其目的就是为了加大安全人员分析的难度。勒索方式有用户锁、屏幕锁、MBR逻辑锁。勒索金额各不相同。起初bat、vbe类主要是以net user管理员账户来修改，因当时大多数杀软对样本调用的cmd命令行不阻止，有很多人中招初代的exe类也是如此。屏幕锁是使软件显示于最上层（类似于游戏全屏），通过各种手段阻止用户退出并要求输入密码，以此来勒索用户。而MBR逻辑锁是通过修改MBR，使用户无法进入操作系统，停留在引导界面并要求输入密码，以此来勒索。下面，我们正式进入分析。

0x01本地随机数

这样称是因为样本的算法在本身中，随机ID匹配对应的密码，作者通过算法即可算出密码。这里以柠檬锁机为例。

 样本信息 中招效果原理就是写入MBR

在虚拟机环境中，双击样本。通过弹窗“请不要在虚拟机中运行程序”标题是SE壳的名称。

SE壳是目前保护壳中最难破解的，所以我们请来了逆向dalao——sound来帮助我们分析。通过一会的的逆向分析，找到了OEP入口点。据他说是利用脚本就可以直接跑出OEP的，这个脚本他曾经发布过，有兴趣的可以自己找找看。找到了OEP入口点，也就是说，我们成功对程序进行了解压缩。这时候已经开始运行真正的程序了。通过分析算法，得到结果如下：有两个随机数，一个取md5，一个取16进制大写。然后与固定参数25572参与运算，转换为md5，取前10位，再取一次md5前16位，最后得到密码，并且都是大写的。破解该锁后，作者声称无法破解的幻想已经破灭。

0x02网络随机数

这样称只是为了方便辨识，而不是算法在服务器上。其原理就是将本地算法生成的ID与密码发送到服务器/邮件上这里以蜗牛锁机为例。MBR界面上届有两个QQ号QQ名为主号或备用号，头像为动漫人物的锁机，一定是该作者编写的。因中的人数众多，我们对该样本进行深入分析。

以下是详细信息360天眼情报系统情报中招情况通过行为分析工具分析得，该样本仅为一个下载器，会从服务器上下载真正的锁机，以此来达到免杀的目的。但笔者下载了作者服务器上的样本，被360 QVM报毒。说明360在联网情况下，支持查杀该样本的变种。

下载器情况  将样本在虚拟机内运行分析，样本弹窗提示请勿在虚拟机内运行，因为样本加的是SE壳，所以使用分析工具进行运行分析。

样本运行流程SE壳弹窗提示绕过之后就可以看到前面样本的下载地址了那怎么绕过的SE壳的虚拟机检测呢？因为是dalao帮忙分析的，他的方法我们不得而知。但是我还是有一个办法可以绕过SE壳的虚拟机检测的。这个办法是从pxhb大佬那里学来的。我贴在这里：

第一处：特征码81 7D E4 68 58 4D 56cmp dword ptr ss:[ebp-0x1Ch],0x564D5868h //将564D5868 任意修改jnz L0069B0FFpush -0x4hpop eaxjmp L0069B101L0069B0FF:xor eax,eaxL0069B101:call L006B3C4Cretn//这里把eax赋值0也可以原理：in eax,dx这个大家都知道第二处：特征码55 8B EC 83 EC 14

    push ebp//直接mov eax,0  retn     mov ebp,esp     sub esp,0x14h     push ebx     push esi     jmp L0069AFA9

原理：关键部分vm了

作者使用的是stmp邮件服务器

我登陆上作者的邮箱，得到锁机的密码。分析到此结束另外，截至文章发表前，病毒作者作者加入了对火绒的检测，也就是说，在安装火绒的电脑上不运行。但是，这并没有什么用。0x03 总结中此类病毒的原因，大多数都是为了贪小便宜，体验开外挂得到的乐趣。但也有些人，轻信作者所谓的“误报”选择关掉杀软，我就把他归结为智商问题。遇不放心的软件放到虚拟机运行，要是虚拟机运行不了，那就是软件作者对软件采取了反虚拟机措施。这时候，你运行这个软件就得小心了。

 

转载于:https://www.cnblogs.com/ichunqiujishu/p/9989758.html

相关资源：锁机源码 生成随机密码