MBR 无文件攻击 这两个mbr勒索病毒太凶残了 我虚拟机里运行 都让我宿主机出现了蓝屏！

主引导记录

MBR是在BIOS完成硬件初始化后首次加载的磁盘部分。它是引导加载程序的位置。对启动驱动器具有原始访问权限的对手可能会覆盖此区域，从而将启动期间的执行从正常启动加载程序转移到对手代码。（引文：Lau 2011）

 

卷引导记录

MBR将引导过程的控制权传递给VBR。与MBR的情况类似，对启动驱动器具有原始访问权限的对手可能会覆盖VBR，以便在启动期间将执行转移到对手代码。

 

bootkit 是一种恶意软件变体，它会修改硬盘驱动器的引导扇区，包括主引导记录 (MBR) 和卷引导记录 (VBR)。^[1] MBR 是 BIOS 完成硬件初始化后首先加载的磁盘部分。它是引导加载程序的位置。对引导驱动器具有原始访问权限的攻击者可能会覆盖该区域，从而在启动期间将执行从正常引导加载程序转移到攻击者代码。

 

案例：

https://any.run/report/730ddc1c505ad858fab4fda13d8c3e20c4cd330863af1b88b08aae20c0dc6b46/2ccf1e78-4563-43d5-a764-fdf27c63f58a

https://any.run/report/fa3131e269c2c1f8330015543cffe0f3dc241dc2db4d75da4fe1d68adac79cac/7edea4ae-cb9f-45e3-bc51-8bcc0f4292d9 ==》6E5FD47EC95A3C66552CB234FCFC8552BAE908A6 微步沙箱有样本

属于mbr勒索病毒，最终效果是开机后启动不了正常系统，出现了勒索画面！！！

运行方法：

1、解压后，修改后缀名为zip，然后解压，发现生成2个文件，专门用于制作mbr勒索病毒。

 

看来这个黑客喜欢街舞。。。

 

2、点击mbr image builder，选择图标和勒索的图片，就可以制作一个MBR勒索病毒了。

 

 我随便选择了2个。。。

 

 

点击build，生成exe！还给了你一个勒索的模拟效果，问你满意不？==》这软件易用性做得挺好！

 

 

 

生成的勒索病毒大小也至于200多KB，真可谓良心制作！！！

 

 然后运行，

 

 

你不得不强制重启。然后进不了系统，出现勒索页面：

 

 

另外，我自己操作了几次后，发现让我宿主机出现了蓝屏！危害也非常大！！！

 

https://any.run/report/be0830713d84ebe82e0fd2a9380d4e4fba59b547691a14069ea024c8562396d4/a9bf8c70-7d19-46cf-b845-8afa0aef1365 ==》424232CD270B7E7D255D440D25188097B9F0E465 微步沙箱也有样本

属于mbr勒索病毒，最终效果是开机后启动不了正常系统，出现了勒索画面！！！

运行方法：

1、解码后修改后缀为exe，双击运行。可以看到是一个制作mbr勒索软件的工具：

 

2、点击Coxxx按钮，生成mbr-locker.exe勒索病毒。

 

 

3、针对mbr-locker.exe 微软defender报毒了：

 

 

 

4、运行mbr-locker，直接给强制重启。。。

 

 

5、重启后就是勒索页面，根本进不了系统，这个mbr勒索病毒还是很厉害的。

 

 

 多么朴实无华的勒索页面！！！

 

https://any.run/report/c25594d76a8034f7227a7b4497870fbb26166a78f507b378802719c07e473c79/57a9d60d-bd37-4442-9838-10dc26f2fd66

https://any.run/report/37e7efb96095d453c0699392057e44fdf0af12a8d1697d5db0b9200018121bc4/dd99b952-fc99-4f77-bb2e-ced5869750fd