記住該記住的,忘記該忘記的,珍惜該珍惜的,放棄該放棄的。我們時常記住了應該忘掉的事情,而忘掉了應該記住的事情。往往這樣,有時候給我們生活中帶來一絲困擾。簡單的舉個例子吧,很多朋友自己心愛的電腦往往喜歡設置一個開機的密碼,一是不想讓別人動自己的電腦,二是鎖住自己的一點點隱私,三是防止孩子玩游戲不好好學習等各種情況。
有時候我們的記憶也很脆弱,自己設置的一個密碼,死活就想不起來,一遍又一遍的……,還是想不起來?這時,你又正需要用到電腦,而又無法進入,你說這如何是好?
朋友,別急!波仔在這里告訴你2分鐘解除電腦忘記的開機密碼。但是前提為(你已經制作好了電腦系統的啟動U盤,如果沒有制作好U盤啟動盤的請觀看我制作U盤啟動盤的文章)點擊下面鏈接觀看,5分鐘就學會。只要你有一個U盤,5分鐘你就可以學會安裝電腦系統
好的,下面我們來講講如何使用U盤啟動盤來解除電腦忘記的開機密碼。
將電腦開機的同時按住:“F11”和“F12”(每臺電腦主板型號不同,啟動項快捷鍵也有所不同,根據主板型號去同時按住相應的鍵即可,一般大多數為F11和F12),出現啟動項時,我們選擇U盤啟動(也就是USB選項),回車進行U盤的維護系統。
當我們進入了U盤維護系統后,先把自動彈出的窗口全部關閉。點擊左下角【WIN】-【密碼管理】-【系統密碼破解工具】。
此時會彈出解密的窗口,這里我們先點擊一下【打開】,這時在用戶列表下面就會顯示系統的用戶名。
我們選擇第一個用戶名:“Administrator”,然后點擊下面的【修改密碼】,這時又會彈出修改密碼的對話框。
當出現修改密碼的對話框時,我們不需要在里面輸入密碼,讓他為空,直接點擊【確定】即可。
當然,也可以輸入新的密碼,如果我們在對話框里輸入了新的密碼,那我們又要好好地記住這個密碼了,千萬別忘了。最好還是不要輸入,讓他為空,這樣我們開機就沒有密碼了,直接進入電腦系統,如果后期我們需要設置密碼的話,我們可以在控制面板的用戶里自行設置就行。
重新啟動你的電腦,看看是否還需要密碼?這時你會發現密碼不見了,直接就進入了電腦系統,是不是很快呀,2分鐘的事,搞定!
好了,波仔就給大家分享到這里,非常感謝大家的支持與關注,我們下期不見不散!
期講鎖機軟件分析。有朋友評論說磁盤鎖。這期我們就講講磁盤鎖。
在此之前,我想先來介紹一下MBR是什么東西。
主引導記錄是位于磁盤最前面的一段引導代碼。一般有過文件系統或者BootLoader的開發經驗,應該都對他很熟悉。一般你讀寫一塊磁盤(或者SD,TF)的第一扇區,他負責磁盤分區的引導信息定位。如果沒有MBR區根本就不用說文件系統。他就像計算機磁盤數據的引路人。如果沒有他,你磁盤文件就涼涼。計算機找不到他在哪。
磁盤鎖做的工作基本就是將你MBR的數據藏起來,換成它自己的引導代碼,很遺憾的是,它必須要你輸入密碼才給你恢復MBR(當然經常因為代碼的兼容性處理的并不好,就是我們說的代碼寫的和屎一樣,所以常常也會及時密碼正確仍然沒有辦法恢復)
可能有些人就說了,這種小問題還拿出來說。一般這種鎖機不就是把你MBD拷貝到第二或者第三扇區,還原回去不就好了。是的的確是這樣。但是對于不知道的人呢?
絕大部分的磁盤鎖程序,會使用CreateFile(A/W)去打開設備符\\.\PHYSICALDRIVE0,引導程序肯定是寫在第一扇區也就是MBR區,寫大小幾乎也是512字節,也就是剛剛好一個扇區大小。
那么,也就是說,我們只需要它打開設備符的時候,將它寫進去的數據給dump下來,當中肯定是包含這個磁盤鎖的鎖機密碼了,這個是原理。
當然磁盤鎖要高那么一丟丟。即使一些小學生也知道給自己的東西戴個套。
現在我給他們詳細講解一些逆向過程。
首先改一下名。上一篇沒提前說。先把磁盤鎖程序改一個名字,(別有漢字)
再還是PE搞起。加載規則腳本(doll db <名字.exe>)
寫文件數據的API是WirteFile,所以,現在,在我們的命令窗口中,
輸入hook WriteFile,然后按下回車
點擊啟動按鈕(就是那個三角形)
在下面菜單欄選擇數據
放個圖吧 不然又懵的很!
一般情況下,第一個512字節的數據,是我們的MBR,這個字符串表明了這點,它就是引導失敗時你在電腦屏幕上看到的那段文字。
你不要問我什么意思,
我們點擊第二個數據包
這種類似BootLoader的代碼一般是16位匯編代碼寫成的
因此我們在編碼欄中選擇反匯編16位
可能有些朋友會說看不懂匯報代碼,沒關系。一般密碼是一資源的形式存在。拉到匯編代碼底部密碼就有了
這樣不就手工了。其實這個也沒有技術可言。
在PeDoll被開發出來后,這種行為分析下的遠控木馬服務端大多無處遁形,個人尤其喜歡的就是使用PeDoll來分析這種遠控,木馬,通過這種行為分析,你可以很容易就找到大部分遠程木馬將自己藏到了計算機的哪里,動了哪些文件與注冊表,與哪個服務器進行了通訊,發送了什么數據包。
我們就可以通過對數據包的分析,給那些企圖加害本人的服務端一點厲害瞧瞧了。當然,當中的知識與抓包分析有更多關系
當然遇到這種的也不用客氣,直接嘿嘿嘿。
大家好,我是謝幺。前幾天逛知乎,看見一個說法:普通人的電腦幾乎不會被黑,因為沒有入侵價值。
對于這個說法,幺哥表示部分贊同。
跟企業的服務器相比,個人電腦的攻擊價值確實不值一提,但,蚊子雖小也是肉啊!
早些時候,網絡攻擊者拿下一臺普通人的電腦,確實搞不來幾個錢,常見的做法是在里頭安裝各種第三方的軟件全家桶,或是劫持瀏覽器點擊小廣告掙點廣告費,要么是拿來當肉雞。
比特幣帶火了數字貨幣以后,黑客也開始“借用”受害者的電腦算力來挖幣,這種在網吧比較常見,因為網吧電腦常年開著機,顯卡又好,網管說話又好聽,個個都是人才。
但總體來說,單臺肉雞收益不高,得靠數量取勝。
然鵝,勒索病毒的出現讓蚊子肉有了新的烹飪方法,普通人的攻擊價值陡然提升。
黑客從此不需要提前知道受害者的身份,或是電腦里有沒有高價值的東西,直接黑進去,文件全鎖上,然后坐等收贖金就完事兒了。
受害者也許是個HR,大量公司簡歷被加密;也許是個設計師,剛改完的最后一版沒了;也是個律師,幾份緊急的案子文件被鎖;也許是個學生,畢業論文剛寫完;或者,也許就只是個普通宅男,硬盤里幾個T的小姐姐揮一揮衣袖,不帶走一篇云彩 … … 幸福千篇一律,一千個人卻有一千種悲劇。
可以說,勒索病毒以一己之力拉高了普通老百姓電腦被黑的概率。
這不,前陣子我剛寫了一篇講勒索病毒團伙的文章,沒過多久就有人表示身邊有朋友中了勒索。(看來我的烏鴉嘴非常奏效,正在看文的你要小心了)。
在這位淺友默哀的同時,我也想到了自己,以及千千萬萬個吃瓜淺友們。作為普通人,我們在遇到勒索病毒之后,第一時間做什么才能控制損失甚至自救?
我翻了翻資料,請教了幾個身邊有經驗的老司機,再結合自身生活經驗,總結出這套勒索病毒自救偏方,在此分享給大家。
Let's Rock !
《普通人的網絡勒索自救偏方》
文|謝幺
首先,現在讓我們一起代入場景。
某天,你正開開心心地玩電腦,屏幕上忽然彈出一個奇怪的窗口,上面顯示一堆看不太懂的英文,以及一個詭異的小鎖或者倒計時。
恭喜你,中招了。
一般情況,桌面還會彈出一個 txt 文本。
來自遠方的勒索者送來一封親切的問候信,給了你狠狠一巴掌。
請問,此時你該如何應對?
A.蒙上自己雙眼假裝看不見,或者捂住耳朵大喊我不聽我不聽
B.吃包辣條冷靜一下,仔細閱讀勒索信并靜靜欣賞信里的文采
C.斷網
讀書時的經驗告訴我們,兩長一短選最短,所以答案是C。
有網線就直接拔網線,沒網線則斷開WiFi,保持冷靜,如果此時你周圍還有同事或者朋友正在上網,悄咪咪看一下他們的電腦是否也出了問題。
許多勒索病毒具有橫向傳播功能,就像是感冒病毒一樣傳染給局域網里的其他電腦,早斷網一秒,親人少流一行淚,如果整個辦公室都因為你而中招,那么勒索你的就不再只有黑客,還有你的同事和老板。
保留犯罪現場
如果還想找回被加密的文件,盡量讓現場保持原樣。
不要指望重裝系統就能好,有些勒索病毒的解密需要根據你電腦的一些軟硬件信息(比如注冊表信息)來生成密鑰,一旦這些信息被破壞,很可能永遠都無法解密,交了錢也沒轍。
最好也不要重啟電腦或關機。這是網絡勒索,網管的那套“萬能重啟大法”在此并不好使,還可能弄巧成拙,因為電腦內存里很可能留有用來解密的線索,專業人士可以拿來破案,一旦關機斷電就會被清空。
在這方面警察蜀黍辦案的流程就值得學習,在第一時間保留線索和作案現場,方便日后回溯線索和破案。
保留好現場,下面我們就可以進入自救環節。
到這一步,重要文件應該已經變成了加密狀態,就像這個亞子。
勒索病毒千千萬,你得知道自己中了哪一卦。怎么辦?
收集病毒特征
仔細回想一下,在中毒的前一刻,自己是不是上了什么不該上的網站,打開了什么不該打開的文件?看了什么不該看的東西?是不是有 FBI warning 過你?
如果你真的什么也沒做,那也有可能是跟你同在一個局域網里的同事干的,當然,他有可能并不會承認,你不妨抽出皮帶拷問他一下。
總之,能直接找到病毒樣本是最好。
觀察被加密的文件的后綴名,不同勒索病毒的后綴不一樣,一般通過后綴名就能大致判斷種類。比如 GlobeImposter 勒索病毒的常用后綴是:auchentoshan、動物名+4444,而 WannaCry 勒索病毒的后綴名是 wncry。
怎么判斷呢?上網搜唄,度娘谷歌都行,就像這樣:
也有些自信心爆棚的病毒會在勒索信自報家門,比如下面這個。
總之,觀察勒索信里信外,看有沒有透露能判斷勒索軟件的標志。
如果以上都沒法確定病毒種類,記下勒索信的文件路徑、具體內容、信里提及的所有網址、郵箱地址等等,這些都可以留作判斷依據,具體怎么用后面會講。
自助解密
正所謂求人不如求己,即便你是個電腦小白,也有一定概率直接找到解密工具。
全世界的安全公司都在努力對抗勒索病毒,其中很多公司都推出了的勒索病毒免費解密工具聚合網站。
比如卡巴斯基的:
https://noransom.kaspersky.com/
奧地利知名殺軟 Emsisoft 的:
https://www.emsisoft.com/decrypter/
知名安全研究團隊 malwareteam 的:
https://id-ransomware.malwarehunterteam.com/
360的:
https://lesuobingdu.360.cn/
Avast 的:
https://www.avast.com/zh-cn/ransomware-decryption-tools
也有一些非商業公司成立的勒索解密網站,比如著名的 Nomoreransom 勒索軟件解密工具集,這是由各國警方和幾家著名的網絡公司聯合發布的“公益救助”網站:
https://www.nomoreransom.org/zh/decryption-tools.html
這些網站的基本流程都差不多:上傳病毒樣本、被加密的文件、勒索信全文或是信里的郵件地址等信息,它就能自動幫你分辨是哪一款勒索軟件。
如果是目前已經被攻破的勒索軟件,恭喜你,網站會提供對應的解密工具和詳細的使用說明。(很多外國網站和說明書都是純英文的,這里推薦英文不太好的朋友用“彩云小譯”,上面那幾張截圖就是用它翻譯的,炒雞好用,這是幺哥的良心推薦)
如果通過這些方法依然沒找到解密工具,甚至都沒法分辨出勒索軟件的種類,下一步就該撥打場外求助熱線了。
場外求助
你可以去一些技術研究或者安全論壇叫銀。
像“吾愛破解論壇”、“卡飯論壇”之類的,以及各大網絡安全公司的官方論壇,比如“卡卡安全論壇”、“火絨論壇”、360社區等等(這里只是說幾個例子,還有別的好去處可以在留言區推薦),找到相應版塊,招呼網友和管理員。
遇到危險大喊救命并不丟人,也不要覺得這是無謂的求助,正所謂“大隱隱于市,高手在民間”,技術大神經常隱藏在群眾灌水的隊伍里。
網上有過不少通過論壇求助成功解密的案例。據幺哥了解,只要你會用小學生文明禮貌用語,很多論壇管理員還是會回應的。
火絨論壇的管理員回復
瑞星卡卡安全論壇的管理員回復
通過場外求助最終解密的例子也不少。比如前陣子吾愛破解論壇的用戶在四處求助無門后,順手去瑞星的“卡卡安全論壇”發了個求助帖,沒想到管理員很快就過來幫忙,最終成功解密,省下價值幾臺iPhone的贖金。(就是上圖的那個案例)
如果實在沒辦法,你也可以在網上找到一些安全研究員的私人公眾號,或是安全公司的公眾號求助。比如我上篇講勒索的文章里提到的深信服千里目實驗室朋友王正,就開了個公眾號:安全分析與研究,遇到勒索病毒實在沒辦法可以去找這位老司機帶路。(上面那些自助解密工具鏈接其實也是他幫忙整理的)
萬不得已,你還可以求助萬能的淘寶。在淘寶上搜索“勒索病毒解密”,你會發現上面有一大票店家。
這算是個求助途徑,但幺哥并不是很推薦,畢竟是收費的。
而且,淘寶上幫人解密的店鋪,其實大部分用的也是網上公開的解密工具。
從邏輯上來講,正牌安全公司代表著這顆星球最強的反勒索實力,但凡某款勒索病毒被安全公司攻破,通常會昭告天下:“XXXX公司率先攻破XXXX”,就像這樣:
然后相應的解密工具就會同步到各大反勒索網站。淘寶店主不是太可能掌握某種特殊的解密技巧。
不過,如果你覺得自己上網求助、找工具麻煩,或者擔心自己手抖誤操作,也不妨出點小錢讓他們代勞,前提是價格厚道。
同時幺哥也要提醒一句說,最好找信譽較高的店,否則先被勒索再被騙,可能會懷疑人生。
找勒索者嘮嗑
除了求助第三方,你其實也可以直接聯系一下勒索者,勒索信里通常有聯系方式。
編一段聲淚俱下的故事,砍砍價,或是告訴對方自己正在想辦法準備贖金,但是沒有購買虛擬幣的經驗,需要一些時間學習和開戶,試試看能不能延期付款。
網友clg808發郵件吐槽贖金太貴
萬一勒索者心情好,給你個折扣什么或者延期,甚至被你的真誠和人生哲學所打動,改邪歸正,也不是沒可能,雖然概率有點小。
順道說一個小操作:通常情況,勒索病毒作者為了證明自己有能力解密,會給一次測試解密的機會,比如允許你發給他三個文件,免費幫你解密。
如果你被加密的文件里,有一些需要緊急使用的非機密文件(比如剛寫完的稿子),不妨直接發給勒索者讓他解密。
交錢還是死磕
勒索者不會留給你太多時間,大部分勒索病毒都會帶一個倒計時,比如超過24小時贖金翻倍,超過三天就撕票,永遠無法解密。
所以其實最重要的是,你必須做好自救失敗的打算。
如果被勒索的文件真的非常重要,請提前準備好一筆贖金,最后關頭也許用得上。雖然交贖金意味著助長勒索之風,但也是無奈之舉。
前幾天《紐約時報》有則新聞,講美國有225位市長聯名支持一項不給黑客支付贖金的決議,表面聽起來非常振奮人心,可問題來了,等到黑客真的鎖死醫院、發電廠、政府,整個城市陷入癱瘓,這些市長真的能頂住不支付贖金?
幺哥的個人觀點是,支付贖金這件事沒有絕對,如果被鎖住的文件關系重大,還是得做好兩手準,與其中了勒索病毒再死撐著不交贖金然后自己吃虧,倒不如吃一塹長一智,做好防備,爭取以后不被勒索。
如果你被勒索的文件既不重要也不緊急,倒也不妨下定決心死磕,興許過一段時間安全公司就會找出解密方法。不過,這個期限可能是一個月,也可能是一年,甚至十年,就跟中彩票似的。
研究員王正告訴我,就像 Globelmposter、CrySiS 兩款勒索新的變種,已經有一年多了,至今還沒有發布相關解密工具。
總之,看命。
其實最穩妥的方法還是第一時間聯系專業的安全公司,不過,我問了幾個朋友,他們說安全公司通常只對公司,對個人的話,難說。當然,如果你不缺錢,就不難說了。
總結
說了這么多,幺哥還是希望大家運氣好點,別中勒索。
之前看到一則新聞,講國外有安全公司專門收錢擺平勒索,收費很高,每次都能解開,后來被發現居然是收了客戶的錢之后,暗地里去給勒索團伙交贖金拿密鑰,自己坐當中間商賺差價。
說實話,這也不能全怪安全公司,畢竟反網絡勒索最好的方法還是防患于未然,而不是亡羊補牢,掏錢找安全公司,除了擺平當下遇到的事,更大的意義在于防止未來再踩同樣的坑。
勒索病毒這事兒未來一定會越來越多,一個很重要的原因是肉身太難抓。
這個邏輯和電信詐騙難打擊一樣,犯罪分子肉身藏在國外,存在跨境執法困難的問題。 有時候我就心想,這樣下去會不會產生一個奇特的現象:
A國的團伙勒索B國的人民,B國的團伙勒索A國的人民,兩邊罪犯都難抓,但兩邊的人民都遭罪。
我把這種現象稱之為“共軛勒索”。
在這種情況下,作為普通吃瓜群眾,除了自保,也沒有什么辦法。
最后,希望大家平時不亂點文件,不亂看不該看的東西,上正規的網站,養成備份重要文件的習慣,或者干脆用同步云盤,實時同步重要文件。
祝各位淺友網上沖浪愉快。
如果大家還有什么防身小妙招、偏方,歡迎給淺黑科技留言,回頭一并整理更新。
---
參考文章:
熊貓正正.安全分析與研究.《企業中了勒索病毒該怎么辦?可以解密嗎?》
360企業安全服務團隊.安全客.《勒索病毒應急響應 自救手冊(第二版)》
再介紹一下我自己吧,我是謝幺,科技科普作者一枚,日常是把各路技術講得通俗有趣。想跟我做朋友,可以加我的個人微信:xieyaopro。不想走丟的話,請關注【淺黑科技】!
【淺黑科技】系頭條號簽約作者。