Всем привет! Друг не давно попал на винлокер, и мне захотелось его разобрать чтобы никто не попался и не платил этим "не до хакерам" за разблокировку. понадобилось 2-3 часа чтобы понять, как оно всё устроено. Синяя версия интереснее красной, так что начну с неё.
Сначала начнём что такое винлокер?
Винлокер (winlocker), или программа-вымогатель-блокировщик (), — это тип вредоносного программного обеспечения, который блокирует доступ к операционной системе Windows или важным файлам на компьютере жертвы, требуя за разблокировку или дешифровку данных выкуп. Злоумышленники используют их для вымогательства денег, обещая вернуть доступ к системе или файлам после оплаты.
В нашем случаее это просто окно которе не даёт пользоватся виндой и всё :)
Теперь давайте посмотрим как выглядит окно вымогателя:
Посмотреть вложение 316886
p.s справа снизу ничего такого нету.
Хорошо мы увидели вирус идём дальше.
Самый первый файл это дроппер - (
Дро́пперы (
Dropper — «
бомбосбрасыватель») — семейство
(как правило это
), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или
).
После запуска он делает следующее:
Посмотреть вложение 316888
Из чего мы можем понять что он получает что то от тг бота и скачивает файл с гитхаба где сам вирус.
Посмотреть вложение 316889
Вот и он.
Давай его декомплимнем через dnspy(декомпиллер что бы смотреть код c# програм).
Посмотреть вложение 316890
1. Открывает несколько ключей автозагрузки:
RegistryKey[] array2 = new RegistryKey[]
{
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true), // Автозагрузка
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce", true), // Однократный запуск
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WinLogon", true), // Вход в систему
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunWRU", true) // Нестандартный путь
};
2. Добавляет множественные записи автозагрузки
В обычную автозагрузку:
- "WindowsInstaller" - маскировка под установщик Windows
- "MSEdgeUpdateX" - маскировка под обновление Edge
В RunOnce (запуск один раз при следующей загрузке):
- "System32GMMow", "OneDrive19293", "WINDOWS" - маскировка под системные компоненты
В WinLogon (запуск при входе в систему):
- "Shell" - Заменяет страндартный проводник винды
Хз нахуя они это сделали:
- Добавляет сообщения: "YOU ARE HACKED", "HAHAHAHAHAHAHA", "BIBOAN.com(noad)"
Посмотреть вложение 316891
1. Блокировка комбинаций клавиш:
if (e.Control & e.Alt) // Ctrl+Alt+...
{
this.wmethod_8().Start(); // Активирует блокировку
GForm2.LockWorkStation(); // Блокирует рабочую станцию
}
if (e.Alt && e.KeyCode == Keys.Tab) // Alt+Tab
{
this.wmethod_8().Start(); // Активирует блокировку
}
if (e.KeyCode == Keys.LWin) // Клавиша Windows
{
this.wmethod_8().Start(); // Активирует блокировку
}
2. Система "разблокировки":
if (e.KeyCode == Keys.Return) // Enter
{
// Проверяет введенный пароль
if (Operators.CompareString(this.hdn.Text, "nyashteamsupport0c0v11" + ..., false) == 0)
{
this.method_5(); // Разблокировка
}
else
{
this.wmethod_H().Start(); // Активирует блокировку при неверном пароле
}
}
Что бы собрать весь пароль нам нужен файл:
Посмотреть вложение 316892
Там хранятся"часы, минуты, секунды" то есть пароль будет nyashteamsupport0c0v11 + данные из "%temp\\$unlocker_id.ux-cryptobytes%"
Ниже код который возращает винду в нормально состояние:
Посмотреть вложение 316896
1. Удаляет записи автозагрузки из реестра:
// Удаляет записи WIN32_1, WIN32_2, и т.д.
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true)
.DeleteValue("WIN32._" + Conversions.ToString(num));
2. Удаляет конкретные вредоносные записи:
Из Run:
- "MSEdgeUpdateX" (исправлено опечатка)
Из RunOnce:
- "System32GMMow"
- "OneDrive19293"
- "WINDOWS"
Из WinLogon:
Теперь а как же самому разблокировать винду?
А очень даже просто справа снизу есть id:
Посмотреть вложение 316893
10-A и дальше 6 цифр
nyashteamsupport0c0v11 + эти 6 цифр
Это и есть пароль всё винда разблокирована.
Теперь что же с красной версией? А всё даже очень просто.
Посмотреть вложение 316894
Всё тоже самое только теперь пароль 0c0v11 + этот id.
Посмотреть вложение 316895
Всё винда анлокнута.
Всем спасибо за прочтения!
И спасибо за помощь:
гидра.
