批量申请qq号免费软件(哈哈哈哈，这个勒索软件笑死我了)

不久前我很忙。清明节我有空，在家乡乡下放松了几天。

我在悠闲地钓鱼。一位读者在微信上紧急联系我，说他的电脑里有勒索病毒！

自从我以前写过一篇关于挖掘病毒的文章以来，我收到了许多朋友的来信，要求我帮助对付它。然而，我工作太忙，很难抽出时间进行分析。这次只是一个假期，所以我收集了鱼竿并回去分析它（事实上，我整个下午都蹲着，鱼没有露出脸）。

我不知道。一项分析让我崩溃了。这是我见过的最好的勒索软件。

读者给我发了勒索程序简单的语言编写的程序似乎用于批量注册QQ号码，并附有一份说明文件：

好家伙甚至欺骗用户关闭安全软件，理由是它很容易作为病毒关闭。这一波伪装666。

好了，我们到了虚拟机在内部运行此程序以查看：

一旦执行屏幕变黑，上面的界面就会出现在全屏上。

这本指南也很让人恼火：30元解锁，比你花几百元刷机器要好，非常傲慢！

最神奇的是它留下了QQ的联系方式。似乎病毒制造者也是新手。有了这个QQ号码，网络警察可以在几分钟内找到门。

我没有给这个QQ号码编码，因为我在QQ上搜索了这个号码，却找不到。我不知道它是否已经被终止，或者我害怕设置为不被搜索。

接下来，我发现了一个非常有趣的现象：我的虚拟机在MacPro上的VMwarefusion上。当我从虚拟机切换到MAC系统的屏幕时，我发现虚拟机中windows的分辨率自动重置。

这个重置无关紧要。刚才，勒索软件只是其中的一半，暴露了它的真实面目：它原来是一个全球顶级窗口，根据系统分辨率的变化自动调整窗口大小太美味了。

现在问题很简单。直接打电话任务管理器，杀了货物！

然而，考虑到我只在VMwarefusion虚拟机中自动调整分辨率，在真正的计算机上，成功的计算机没有机会调整分辨率，也无法运行以转移任务管理器，因此我必须看看是否有其他方法来破解它。

我要重新开始，看看这家伙是否加入了创业公司。

我重新启动了虚拟机，发现这个产品实际上为我添加了一个admin用户，并将其返回给了我原来的默认用户Administrator添加密码！！！

现在，我不能进去了！

接下来，开始分析，感受一下勒索软件的重量。

我首先针对添加用户这一部分，因为我必须进入系统进行调试和分析。虽然软件是用一种简单的语言编写的，但实际上，它最终会调用一堆Win32API，所以我开始在程序的导入表中搜索与用户添加相关的API：

经过搜索，我发现该软件没有使用上述任何功能。它是如何添加用户的？

我改变了策略。不是为了增加用户吗？用户的名字是admin。我的搜索程序里有什么admin依靠的字符串。搜寻把我吓了一跳：

看来我高估了这个节目。不使用Win32API，只需调用CMD来执行命令。

此外，如果命令等重要信息以明文形式完全公开，则会显示密码：

admin：asdfghjkl

Administrator：69

admin的密码对我来说很容易理解。这是键盘上a键开头的一行英文字母。但为什么Administrator的密码是69？69是什么意思？我还没弄明白。

带着怀疑的态度，我输入了上面的密码，并真的放弃了。太好吃了~~

然而，我一进去，黑色勒索界面就立刻出现了。看来我真的添加了启动项。

我随机输入了一些密码，都是由错误的密码提示的。我似乎不得不考虑如何验证它的密码。

在这种情况下，我们通常首先定位执行密码验证的部分，然后分析判断逻辑。

这里的定位方法可以为NicholasTse和SetWindowText提供断点。这两个功能分别用于获取密码输入框的内容和设置“密码错误”提示。

通过这两个函数的调用堆栈向前和向后推，可以快速描绘执行密码验证的部分。

然而，在我使用上述方法进行分析之前，勒索软件真正让我崩溃的地方出现了。我在“密码错误！”在提示字符串旁边，我看到了另一个字符串，与Administrator的密码相同asdfghjkl。

这会是什么？带着一种尝试的态度，我把它输入密码输入框，点击OK，奇迹般地解锁了它！30元的勒索密码以明文形式出现在错误提示旁边。你敢相信吗？

这个勒索软件太好吃了X3！

说到正经事，了解技术的人可以看到，敲诈勒索软件实际上并不存在，而且技术通常是公正的，但也公然暴露了自己。然而，这个软件盘属于dish。如果是普通用户遇到的，那真的很头疼。

接下来，轩辕在这里介绍了一些技巧。遇到一般敲诈软件时不要惊慌。

安全模式是windows提供的启动模式。在这种模式下，普通启动和自启动程序将不会执行，许多驱动程序也不会加载。这是一个相对清洁的环境。你可以进入这个环境删除病毒程序。

安全模式不是万能的。即使进入安全模式，一些功能强大的程序也会运行。在这种情况下，我们必须找到另一种方法。

对于这种级别的入侵，您可以选择使用USB闪存盘制作启动盘，修改BIOS中的启动项并使用USB闪存盘启动，就像使用USB闪存盘安装系统一样。

启动后，直接进入USB闪存盘上的winpe环境，这是一个用于预安装的小型系统。进入此环境以删除硬盘上的勒索软件程序。

最后，备份重要数据是老生常谈。存储云硬盘、移动硬盘和计算机。狡兔仍在这三个山洞里。作为对勒索软件的回应，备份是王道！

作者：轩辕的风格

来源：编程技术宇宙（ID:轩辕编码）