灰鼠失联不到二十四小时,暗网上就有人把他的坑占了。
不是一个,是一个ID叫“制药师”的卖家。他同时在几个暗网论坛挂了广告帖,标题短得像黑市菜单——“免杀加密器,最新版,过主流杀软百分百。支持定制,三天交付。”
叶诤在暗链观测者上扫了一眼帖子的元数据。发帖IP套了四层代理,但追到最后一跳,他看到了一个熟悉的参数——样本下载链接绑定的DNS,和灰鼠那三台还没咽气的服务器用的是同一组配置。
灰鼠跑了。他的基础设施被人捡起来接着用,像换个司机开同一辆车。
叶诤用“数据猎手”的身份给制药师发了条私信,语气故意装得毛躁,像个刚摸到门道的脚本小子。
“哥们,加密器怎么卖?我要过360和火绒,最好能顺便过Windows Defender。上次买那个被秒了,亏得肉疼。”
制药师回得很快。这种人喜欢跟菜鸟做生意——菜鸟不问技术细节,不磨价,付钱也痛快。
“基础版0.08个BTC,过三十款主流杀软。高级版0.3,加自解壳和反虚拟机检测。至尊版0.8,带自签名数字证书,微软白名单都不杀你。”
“至尊版。先给个样本我测一下。”
制药师扔过来一个压缩包,密码是“pharma2024”。叶诤在沙箱里解了压,里面躺着一个不到两兆的可执行文件,图标是个PDF缩略图,文件名写着“市一院_体检报告_2024.pdf.exe”。Windows默认隐藏扩展名,用户看到的只是一个PDF,后面缀着的.exe根本不会显示。
叶诤在隔离沙箱里双击了它。
沙箱是物理隔离的,不联网,专门用来拆恶意软件的封闭环境。样本启动之后干的第一件事,是在沙箱的模拟文件系统里释放了一份真实的PDF——不是空白页,是一份排版工整的体检报告,姓名、性别、年龄、检查项目、异常指标标记,一应俱全。报告内容是伪造的,但格式跟真的一模一样,连页脚的医院公章都是用矢量图渲染的。受害者打开只会以为自己点开了体检报告,完全不会察觉后台有东西在跑。
第二件事,它检测了运行环境。不到零点三秒,样本扫完了沙箱里的进程列表、内存大小、硬盘序列号,连CPU温度都读了一下。沙箱模拟不出真实的CPU温度——物理芯片通电总会有热量,样本读到的温度是零,它立刻判断出自己在沙箱里。然后它做了一件叶诤没料到的事:不自杀。它装死。假装什么都没发生,继续保持休眠状态,连恶意行为检测器都让它骗过去了。
“会装死。”叶诤自言自语。
第三件事最让他警觉。样本在休眠状态下用一种极隐蔽的方式扫描了沙箱里所有PDF的文件头。它在找东西。叶诤查了匹配规则,发现样本找的不是文件名,是PDF的创建时间戳——精确到秒。它要找某个特定时刻生成的PDF,一个时间指纹。
“不是通用病毒。”叶诤关掉沙箱,转头对周武说,“通用病毒不会在受害者机器上找特定时间戳。这是定向攻击。他们的目标是知道某个文件精确生成时间的人。”
“医院里的人?”
“或者是给医院做数据归档的第三方。这种体检报告的时间精度,只有原始生成机器才留得下来。”
他把样本传给技术小哥做深入分析,同时在AR界面调出系统的恶意代码分析模块。系统对样本做了全量反编译,不到三秒钟就把加密器的壳一层一层全剥开了。
一层?不是。是七层。
俄罗斯套娃。最外层是PDF伪装。第二层反沙箱检测。第三层环境探测。第四层权限提升——用了一个叶诤没见过的漏洞。系统标出了漏洞编号,后面跟着说明:Windows字体渲染引擎的0day,影响范围覆盖Windows 10和11所有版本,微软还没发补丁。
0day。不是从漏洞市场淘的二手货。是制药师自己挖的,或者他背后的人挖的。
第五层是下载器,体积极小,只干一件事:从指定URL拉取加密载荷。第六层解密器。第七层才是核心——不到六十KB的勒索模块。代码风格和叶诤之前在灰鼠服务器上发现的输液泵勒索病毒几乎同源,但更精致,更成熟。
灰鼠那个版本有缺陷,设备会在加密过程中直接死机。制药师的版本把缺陷修了,加密逻辑改成渐进式——先把设备部分功能降到“安全模式”,病人暂时不会有生命危险,同时弹出勒索提示,给医院留出七十二小时的反应窗口。这个设计极其阴险:医院不会被逼到立刻应急的墙角,但七十二小时的倒计时制造了一种缓慢收紧的心理窒息感——你还有时间,但不多,你必须在病人出事之前做决定。
“灰鼠那个是原型机。”叶诤说,“制药师这个是量产版。同一个病毒,不同迭代。”
本小章还未完,请点击下一页继续阅读后面精彩内容!
喜欢被骗后我激活了反诈神豪系统请大家收藏:(m.shuhaige.net)被骗后我激活了反诈神豪系统书海阁小说网更新速度全网最快。