好久不见的敲竹杠以及迷之自信的作者

0x0 概况

近期，笔者捕获到了一个样本，并且作者放出话说没有人能够破解，我想探探虚实，没成想作者可能脑子坏掉了。

连壳都没加就说没有人能破解真是心大。

0x1 分析

查看编译时间戳

查看杀软捕获时间

既然没有壳，我们使用OD分析看看。

使用Ctrl+G跟随表达式00401000

找到字符串-作者的QQ

发现了作者的QQ

不仅发现了QQ还看到了创建localgroup administrators，shutdown关机等命令，在OD看让笔者眼花缭乱，所以笔者决定使用IDA分析。

通过IDA载入程序，直接跳转到刚才发现的位置。

一阵乱点之后我们来到了想要的地方

从这里可以看出id是随机的，因为（suiji-ID），所以笔者使用了3个云沙箱来验证一下。

好的，的确都是wyc+4个数字+ysys的密码。说明笔者的分析是正确的。

就可以F5查看伪代码看算法咯。

0x2 故事

作者一直说笔者的算法是错误的，然后说了一堆让人难懂的话。

我已经把算法给他了，但是他又去拿“一个高手”破解出的对应随机密码出来挑衅。

我只想说，汇编看不懂的也没什么好讲的，还有那个所谓的“一个高手”别丢人现眼了，行为分析的密码拿出来说是自己破解的......

0x3 总结

敲竹杠已经流行几年了，经久不衰，甚至还更新迭代，但是作者一般都是小学生水平的，编译成功后以为加个强壳就万事大吉了。人外有人，天外有天。笔者也算是从2013年就开始研究敲竹杠，见过无数敲竹杠，这个已经算是低级的了，但是这个作者连逆向出来的算法都不肯承认，那笔者也是无语了。

本文始发于微信公众号（疯猫网络）：小学生制作勒索病毒号称无人可破