一、概况
近期360QVM团队截获到了一批伪装成游戏外挂、QQ刷钻、游戏刷装备等类型的敲诈软件。一旦用户点击运行,用户计算机的管理员账号将被添加或更改密码,造成用户计算机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费,从而达到勒索用户资金的目的。

二、样本分析
近期我们捕获到的恶意勒索类软件主要分为两种实现方法,其中一种是为计算机用户添加固定的用户密码;另一种是通过当前环境的部分信息进行加密计算后设置系统的用户密码,导致无法进入系统操作界面,本文将以一枚随机算法的样本进行分析。
样本信息:
MD5:FD71FA7B8B9282618E050653464611F4
SHA1:C0126EACC1D50F0F7BBE3C1303EA61154688AC4B

(一)样本执行流程
    样本首先通过随机数和取时间进行混合运算后得到密码,然后通过操作注册表达到关闭UCA(User Account Control)等功能,再修改用户密码并向作者设定好的邮箱中投递密码信息用作用户赎回密码时提供密码,最后进行强制关机。

(二)样本具体行为
样本启动后首先对设置自身为开机启动项,在注册表内建立”3.exe”的注册表项

通过taskkill 来结束卡巴斯基、瑞星、McAfee 等安全软件来实现保护自身的目的。
 

 
对注册表的相关操作数量过多,将在下文源码中具体体现。
其中设置注册表项共计如下:

其中删除注册表共计如下:

 
调用cmd进行添加计算机密码

对作者预设的邮箱中发送密码信息,在发送密码后将进行关机

 
因为样本是易语言样本,根据其特性识别样本中的支持库信息并还原源码,其算法部分如下:

 
逆向支持库后还原完整源码如下:

三、解决方案
对付敲竹杠木马以预防为主,如果不慎中招,推荐使用360安全查询的敲竹杠木马开机密码找回功能(http://fuwu.360.cn/chaxun/qq),我们通过对样本分析,不断更新补充敲竹杠木马的开机密码库,在找回开机密码后请及时全盘扫描杀毒。如遇到无法查到密码的情况,也欢迎向我们提交样本反馈。

开机密码找回步骤:
1、若您的电脑开机出现如下画面

2、输入对方留下的联系QQ号码

3、立即修改您的密码(控制面板→ 用户账户→ 更改密码)

四、总结
在PC领域,“勒索软件”这个词在去年一个名为CryptLocker的病毒爆发之后逐渐进入公众视线,其会将用户文档资料全部加密,而用户必须给黑客支付300美元或0.5比特币才能找回自己的文档资料。而在此之后国内也出现了利用添加或修改用户开机密码进行勒索的恶意软件,并且有愈演愈烈地趋势。这种类型的恶意软件如果进一步演变,对用户电脑及电脑上的数据资料都会带来巨大的安全风险和威胁。我们将密切关注此类恶意软件的演变趋势并提供有效的解决方案。