Поиск вируса Uxlocker гайд как его снять(винлокер)

[vento1337]

Всем привет! Друг не давно попал на винлокер, и мне захотелось его разобрать чтобы никто не попался и не платил этим "не до хакерам" за разблокировку. понадобилось 2-3 часа чтобы понять, как оно всё устроено. Синяя версия интереснее красной, так что начну с неё.

Сначала начнём что такое винлокер?​

Винлокер (winlocker), или программа-вымогатель-блокировщик (

Пожалуйста, авторизуйтесь для просмотра ссылки.

), — это тип вредоносного программного обеспечения, который блокирует доступ к операционной системе Windows или важным файлам на компьютере жертвы, требуя за разблокировку или дешифровку данных выкуп. Злоумышленники используют их для вымогательства денег, обещая вернуть доступ к системе или файлам после оплаты.

В нашем случаее это просто окно которе не даёт пользоватся виндой и всё :)

Теперь давайте посмотрим как выглядит окно вымогателя:​

p.s справа снизу ничего такого нету.

Хорошо мы увидели вирус идём дальше.

Самый первый файл это дроппер - (Дро́пперы (

Пожалуйста, авторизуйтесь для просмотра ссылки.

Dropper — «бомбосбрасыватель») — семейство

Пожалуйста, авторизуйтесь для просмотра ссылки.

(как правило это

Пожалуйста, авторизуйтесь для просмотра ссылки.

), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или

Пожалуйста, авторизуйтесь для просмотра ссылки.

).

После запуска он делает следующее:

Из чего мы можем понять что он получает что то от тг бота и скачивает файл с гитхаба где сам вирус.

Вот и он.

Давай его декомплимнем через dnspy(декомпиллер что бы смотреть код c# програм).

1. Открывает несколько ключей автозагрузки:​

RegistryKey[] array2 = new RegistryKey[]
{
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true), // Автозагрузка
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce", true), // Однократный запуск
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WinLogon", true), // Вход в систему
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunWRU", true) // Нестандартный путь
};

2. Добавляет множественные записи автозагрузки​

В обычную автозагрузку:

• "WindowsInstaller" - маскировка под установщик Windows
• "MSEdgeUpdateX" - маскировка под обновление Edge

В RunOnce (запуск один раз при следующей загрузке):

• "System32GMMow", "OneDrive19293", "WINDOWS" - маскировка под системные компоненты

В WinLogon (запуск при входе в систему):

• "Shell" - Заменяет страндартный проводник винды

Хз нахуя они это сделали:

• Добавляет сообщения: "YOU ARE HACKED", "HAHAHAHAHAHAHA", "BIBOAN.com(noad)"

1. Блокировка комбинаций клавиш:​

if (e.Control & e.Alt) // Ctrl+Alt+...
{
this.wmethod_8().Start(); // Активирует блокировку
GForm2.LockWorkStation(); // Блокирует рабочую станцию
}

if (e.Alt && e.KeyCode == Keys.Tab) // Alt+Tab
{
this.wmethod_8().Start(); // Активирует блокировку
}

if (e.KeyCode == Keys.LWin) // Клавиша Windows
{
this.wmethod_8().Start(); // Активирует блокировку
}

2. Система "разблокировки":​

if (e.KeyCode == Keys.Return) // Enter
{
// Проверяет введенный пароль
if (Operators.CompareString(this.hdn.Text, "nyashteamsupport0c0v11" + ..., false) == 0)
{
this.method_5(); // Разблокировка
}
else
{
this.wmethod_H().Start(); // Активирует блокировку при неверном пароле
}

}

Что бы собрать весь пароль нам нужен файл:

Там хранятся"часы, минуты, секунды" то есть пароль будет nyashteamsupport0c0v11 + данные из "%temp\\$unlocker_id.ux-cryptobytes%"

Ниже код который возращает винду в нормально состояние:

1. Удаляет записи автозагрузки из реестра:​

// Удаляет записи WIN32_1, WIN32_2, и т.д.
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true)
.DeleteValue("WIN32._" + Conversions.ToString(num));

2. Удаляет конкретные вредоносные записи:​

Из Run:

• "WindowsInstaller"

• "MSEdgeUpdateX" (исправлено опечатка)

Из RunOnce:

• "System32GMMow"
• "OneDrive19293"
• "WINDOWS"

Из WinLogon:

• "Shell"
• "WRUList"

Теперь а как же самому разблокировать винду?

А очень даже просто справа снизу есть id:

10-A и дальше 6 цифр
nyashteamsupport0c0v11 + эти 6 цифр
Это и есть пароль всё винда разблокирована.

Теперь что же с красной версией? А всё даже очень просто.

Всё тоже самое только теперь пароль 0c0v11 + этот id.

Всё винда анлокнута.

Всем спасибо за прочтения!​

И спасибо за помощь: гидра.

 

[anfisov]

Очень смешно если честно.

Вирус какого-то дерьма, не протектнут, еще и на C#.
И подгрузка с гитхаба сука))

Интересно каким далбаебом надо быть чтобы на это попасться

 

[vento1337]

Очень смешно если честно.

Вирус какого-то дерьма, не протектнут, еще и на C#.
И подгрузка с гитхаба сука))

Интересно каким далбаебом надо быть чтобы на это попасться

там через рат подгружают как я понял

 

[hideshots]

Очень смешно если честно.

Вирус какого-то дерьма, не протектнут, еще и на C#.
И подгрузка с гитхаба сука))

Интересно каким далбаебом надо быть чтобы на это попасться

там через ратник подгружают типы с вебратом и другими ратниками