-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18636小时
-
- 发帖786303
- 搜Ta的帖子
- 精华0
- 飞翔币211574
- 威望215717
- 飞扬币2615486
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786303
- 飞翔币
- 211574
- 威望
- 215717
- 飞扬币
- 2615486
- 信誉值
- 8
|
[font=-apple-system, BlinkMacSystemFont, "]起因:https://www.52pojie.cn/thread-1342764-1-1.html[font=-apple-system, BlinkMacSystemFont, "]样本:https://share.weiyun.com/L37r3erY [font=-apple-system, BlinkMacSystemFont, "]一下载就直接被火绒处理了,是典型的mbrlocker。[font=-apple-system, BlinkMacSystemFont, "]双击后直接蓝屏,重启就是勒索信息:联系QQ863982819[font=-apple-system, BlinkMacSystemFont, "]我们把样本重命名为.txt,然后以记事本打开,搜索关键词:qq8 [font=-apple-system, BlinkMacSystemFont, "]到这一步,我们已经可以看到密码是[font=-apple-system, BlinkMacSystemFont, "]520.1314[font=-apple-system, BlinkMacSystemFont, "]了 [font=-apple-system, BlinkMacSystemFont, "]1.该方法仅对未加壳样本有效,字符串被加密后则无法直接搜索到,需要先脱壳[font=-apple-system, BlinkMacSystemFont, "]再用此方法。[font=-apple-system, BlinkMacSystemFont, "]2.建议尽快使用GPT分区格式,不要死守MBR分区格式。(xp不支持GPT分区)[font=-apple-system, BlinkMacSystemFont, "]3.一定要安装防病毒软件,人力有限,不可能对所有程序一 一分析后再使用[font=-apple-system, BlinkMacSystemFont, "]感谢@JuncoJet[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]病毒作者留密码并不意味着就留了修复功能。[font=-apple-system, BlinkMacSystemFont, "]这里推荐一个MBR修复工具:https://www.52pojie.cn/thread-1001655-1-1.html
|
