敲诈者来了~~

敲诈者来了~~

今天整理东西，发现一大波的敲诈者病毒来了。。

一 典型行为

起个欺骗性名字的。比如：

MD5:7a3e070f232fda5e71bc3506005d35ae

名字叫： 强制登陆体验服飞车.exe ，可以看出是假装是游戏软件的。

程序有个很牛的图标：意发科技，形如：

运行后程序调用 net.exe user administrator huanghaisheng命令，给 administrator  加了一个密码为 huanghaisheng的密码。

然后调用 net.exe user 要密码找群主 huanghaisheng /add

net.exe localgroup administrators 要密码找群主 /add

然后关了你的机。开机后就出现了这种画面。

画面太美，我不敢看

这个的主要特点是：

1. 通过QQ群传播。--不然到哪里要密码找群主

2. 通过群应该是游戏群。---不然我个 体验服飞车.exe，我才不会点呢

3. 意发科技，听起来好正规的样子。

4.  huanghaisheng  黄海生，是群主名字还是群主他二大爷的名字？

二. 通过QQ要钱太没技术含量，万一对方不会上QQ呢？万一对方没办法找到另一台上网的电脑登陆QQ呢（因为这台被我加了密码了么）？没问题，敲诈者会为能排除这些障碍的。。

没法上QQ，电话总有吧，那得喽，您给我来个电话吧？

样本MD5：43c534b095235c3b8d7121e2baa2352a

易语言写的，net.exe user 当前用户 a984601077 。给当前用户加一个密码： a984601077  

然后呢？然后就没有然后了，等到你重启电脑后，就这个样子了....

这个的主要特点：

1. 留电话，好联系

2. 没帮你自动关机，一直等到您玩够了电脑，关了机，睡了觉，睡醒了，开了机，才发现

三。 光敲诈能赚几个钱，我要靠技术吃饭

不但可以敲诈，还可以教你敲诈。授之于鱼不如授之以渔

样本MD5:812e688506f7a254f76211f450935bef

程序的名字叫作：首次突破卡红钻.exe 

应该也是个靠游戏欺骗的。

运行后程序很萌萌哒

萌萌哒的后面已经通过net.exe user %username% 1141563248mima给你加了个 1141563248mima的密码。然后lock workstation。给你锁屏了，点一下，还能登陆进去。但重启电脑后

哈哈，点了确定后，还能登陆进去。。应该是敲诈者太弦技术了，没有把   %username%替换成当前真实的用户名，密码没加成功。

四。 简单强暴型

样本MD5：b9990e5094ca6bb65d4adb6d5ff393a7

程序名字叫：小E漏洞一键领取QQ红钻三个月.exe

红钻三个月，好诱惑，运行后密码设成19950401。应该是生日，如果是敲诈者的生日的话，不得不说小小年纪就开始了敲诈，真是太有前途了。

五。假装功能

MD5:9b654989b279005b7b8413f3a487fcc7

运行后漂亮的界面，点了个播放音乐后，电脑关机了，设上密码了。密码就设成了1430865962

关机之前给弹个窗口

开机后：

整理的一批敲诈者的样本，样本的MD5 HASH为：

f8a34471018cc37c008555041b1623eb

f3f01f7c13bf3aa3cbbe2c5437d826bb

ecbde61eb3a9adfdf3e86cf6fab668cc

ebb4c712710cdbcd027e37c9580daa7a

dbb39a964223fe6d84a72c3bc72ed693

d02088e51306ed9fb8604dc36897b2b8

d02088e51306ed9fb8604dc36897b2b8

c4748d59e57280af27dbe767d6133d70

be8be1f73b157400bf39d0eca3ef0565

b9990e5094ca6bb65d4adb6d5ff393a7

632636c5f8e1f2824a37f312199b9523

812e688506f7a254f76211f450935bef

812e688506f7a254f76211f450935bef

92c7d7af91e5ab88a8440bbbabd0e27d

83e74d1a2d1a30ecd9b6700f7ff98ee5

43c534b095235c3b8d7121e2baa2352a

9b654989b279005b7b8413f3a487fcc7

08d8587a9de598110599aebef0a6d6ca

7cdc69578fa1c8d8e91ebe1b583047a7

7a3e070f232fda5e71bc3506005d35ae

4b449d0abf21b016b47d3489053f442b

1f70ddd1782805c08cf0f15820efa053

最后，看一下这类样本大多伪装成什么名字吧。