记录一款很有意思的PHP勒索病毒

这是一个朋友发过来的病毒样本。

网站程序是用的wordpress(老版本5.8.1)

应该是模板有后门造成的(具体原因不详,懒得分析。)

网站文件目录已经全部被加密

记录一款很有意思的PHP勒索病毒,第1张

记录一款很有意思的PHP勒索病毒,第2张

打开网站显示

记录一款很有意思的PHP勒索病毒,第3张

查看源代码,没有加密,跟踪了一下。

$errorMessages = array('key' => '');
if (isset($_SERVER['REQUEST_METHOD']) && strtolower($_SERVER['REQUEST_METHOD']) === 'post') {
    if (isset($_POST['key'])) {
        $parameters = array('key' => $_POST['key']);
        mb_internal_encoding('UTF-8');
        $error = false;
        if (mb_strlen($parameters['key']) < 1) {
            $errorMessages['key'] = 'Please enter decryption key';
            $error = true;
        } else if ($parameters['key'] !== '8888') {
            // for educational purposes
            // recovery
            $errorMessages['key'] = 'Wrong decryption key';
            $error = true;
        }
        if (!$error) {
            $ransomware = new Ransomware($parameters['key']);
            $ransomware->run();
            header('Location: /');
            exit();
        }
    }
}

重点来了,密码不是动态的!!

密码就是8888

测试了一下,完全正确。

然后我翻译了一下界面

记录一款很有意思的PHP勒索病毒,第4张

解密密钥在代码中。

解密密钥在代码中。

解密密钥在代码中。

我尼玛?

逗我呢。。。

记录一款很有意思的PHP勒索病毒,第5张

不带这么欺负人的。。

这是啥意思。杀外行不杀同行吗?

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
钛宇宙(大象网络工作室) » 记录一款很有意思的PHP勒索病毒

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
提示下载完但解压或打开不了?
最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
找不到素材资源介绍文章里的示例图片??
对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
钛宇宙
一个高级程序员模板开发平台

0条评论

发表评论