AzaleaCold 发表于 2018-3-28 18:05

【分享】敲竹杠木马“双重密码”解析和登录界面中文输入方法

本帖最后由 简简单单chao 于 2018-6-19 18:25 编辑

近期我们收到了一款“双重密码”的敲竹杠木马的样本反馈,此款木马分别添加了MBR逻辑锁和用户账户密码,对用户进行添加QQ,转账换取密码的勒索此类病毒通常会伪装成‘某厂吃鸡外挂’或‘vip破解程序’来骗取用户关闭安全防护软件,从而达成勒索目的
至此强烈呼吁大家,不要对此类未知程序添加信任或退出360安全卫士运行下面我们就针对近期收到反馈的这款 “双重密码”且第二重密码需要使用“对应十六进制阿拉伯数字转换为中文密码”的敲竹杠病毒做一下解析
1,   此程序进程名为“net1.exe”正常开启360安全卫士的时候,我们的黑客入侵防护会对其拦截,发现此程序修改电脑信息并建议阻止
2,      我们关闭杀毒软件直接运行程序会发现,桌面自动刷新后吊起命令提示符开始自动写入相关命令,大约15秒左右资源管理器关闭,电脑自动重启。            
3,      重启后我们发现此时硬盘已经被添加了MBR逻辑锁,出现勒索界面显示添加:QQ3043787218JIESUO 15RMB;对此我们通过技术分析“第一重密码”为:woshixiaoxuesheng
         
4,      输入完第一重MBR逻辑锁密码进入系统后发现此时系统账户已经被篡改并添加了“第二重密码” 显示添加:QQ2160587619         
5,      在对样本的进一步解析过程中,我们发现该病毒对用户处设置的密码为中文密码(登录界面正常是无法吊起输入法拼音中文界面的),并且密码是随机7选1的机制(中招的同学需要7个密码依次试验)         
6,      输入方法:对此我们对这些中文密码进行了中文的十六进制转码(对应阿拉伯数字),按住alt+数值组即可敲出对应的中文(如F=alt+70、E=alt+69、愿=alt+54456)
密码:输入方式:Alt+下面对应小键盘数字组合备注:
FE愿得一人心70 69 54456 46531 53947 51403 53444前面的两个大写字母也可以直接输入
WQ很牛逼87 81 47836 50595 45510
EW不离不弃69 87 45755 49387 45755 50938
WX可惜没如果87 88 49097 53159 50107 51431 47611
KH执子之手75 72 54964 55251 54958 51926
WQ演员87 81 53725 54449
RT因你而在82 84 54002 50403 46840 54490


已经中毒的同学可以通过360提供的敲竹杠木马开机密码找回页面找回开机密码:http://fuwu.360.cn/chaxun/qq

PS:注意开机后请大家立即修改开机密码或更换账户,然后开启360安全卫士进行全盘查杀,避免病毒继续感染-----------------------------我是华丽的分隔线-------------------------------近期我们又接到了用户反馈开机提示输入密码,如下图所示
经过技术人员的分析,破解出的密码为: -#^O*f^?` {~$,\L     注:有两个空格:第一个为空格{前面也有一个空格

输入该密码进入系统登录界面,还有一个密码,密码为:WF呵呵哒由于中文密码无法直接输入需要按以下图中所示方式Alt分别加对应数字输入如下5组数字:87   70      47815   47815   57301

输入完成之后即可正常进入系统最后,再次提醒大家,不要下载第三方外挂,经常使用安全卫士查杀木马,确保系统安全。

玛德琳Love 发表于 2018-3-30 13:32

{:4_106:}{:4_106:}{:4_106:}

fdgz22 发表于 2018-3-30 15:31

是不是必须用小键盘输入?
没有小键盘的笔记本也可以吗?

360fans_Q9ixs3 发表于 2018-4-3 21:41

这个还没到输入密码的界面 哥

vixenxyy 发表于 2018-4-4 07:23

加油

it_Qing 发表于 2018-4-8 09:09

好奇,是怎么转Unicode十进制编码的,自己查阅了很多资料也没有转成功

360fans_81755657 发表于 2018-4-29 03:02

不行啊。我试过了。密码都不对。是不是更新了。急。我中招了

360fans_6m3Dnt 发表于 2018-5-29 17:43

兄弟,求救啊,我qq982499569

deepocean2 发表于 2018-5-29 20:28

我也中了此病毒,第一个QQ是3090475966,第二个QQ是一样的号码,求帮组

360fans617807061 发表于 2018-6-22 03:22

你好,我也中病毒了   

原文如下
fuck   you   mother    no   money   rollingveau   
hangingopen    idiot    nozuo   no   die      
iwith   you   andyour   family    to   die    early   
cing cing cing

密码应该是啥?

360fans_lSoU6W 发表于 2018-7-6 21:14

楼主我中的应该和10楼的一模一样的 求帮个忙

路过kuai8 发表于 2018-7-10 22:45

牛逼啊

360fans_DACiLn 发表于 2018-12-16 10:10

救急啊哥

360fans_DACiLn 发表于 2018-12-16 10:12

QQ630084813

360fans_WGFHir 发表于 2020-2-3 17:01

求解,加QQ1783285338

360fans_RQjyjs 发表于 2020-2-29 14:10

帮帮我,他留得QQ是1901698394

周小可zxk 发表于 2020-2-29 16:45

woshixiaoxuesheng 笑死我了

360fans_wap3241747841 发表于 2020-7-9 07:49

我也中病毒了就留了个QQ2804678627别的什么也没有
页: [1]
查看完整版本: 【分享】敲竹杠木马“双重密码”解析和登录界面中文输入方法