MBR 无文件攻击 这两个mbr勒索病毒太凶残了 我虚拟机里运行 都让我宿主机出现了蓝屏!
主引导记录
MBR是在BIOS完成硬件初始化后首次加载的磁盘部分。它是引导加载程序的位置。对启动驱动器具有原始访问权限的对手可能会覆盖此区域,从而将启动期间的执行从正常启动加载程序转移到对手代码。(引文:Lau 2011)
卷引导记录
MBR将引导过程的控制权传递给VBR。与MBR的情况类似,对启动驱动器具有原始访问权限的对手可能会覆盖VBR,以便在启动期间将执行转移到对手代码。
bootkit 是一种恶意软件变体,它会修改硬盘驱动器的引导扇区,包括主引导记录 (MBR) 和卷引导记录 (VBR)。[1] MBR 是 BIOS 完成硬件初始化后首先加载的磁盘部分。它是引导加载程序的位置。对引导驱动器具有原始访问权限的攻击者可能会覆盖该区域,从而在启动期间将执行从正常引导加载程序转移到攻击者代码。
案例:
https://any.run/report/fa3131e269c2c1f8330015543cffe0f3dc241dc2db4d75da4fe1d68adac79cac/7edea4ae-cb9f-45e3-bc51-8bcc0f4292d9 ==》6E5FD47EC95A3C66552CB234FCFC8552BAE908A6 微步沙箱有样本
属于mbr勒索病毒,最终效果是开机后启动不了正常系统,出现了勒索画面!!!
运行方法:
1、解压后,修改后缀名为zip,然后解压,发现生成2个文件,专门用于制作mbr勒索病毒。
看来这个黑客喜欢街舞。。。
2、点击mbr image builder,选择图标和勒索的图片,就可以制作一个MBR勒索病毒了。
我随便选择了2个。。。
点击build,生成exe!还给了你一个勒索的模拟效果,问你满意不?==》这软件易用性做得挺好!
生成的勒索病毒大小也至于200多KB,真可谓良心制作!!!
然后运行,
你不得不强制重启。然后进不了系统,出现勒索页面:
另外,我自己操作了几次后,发现让我宿主机出现了蓝屏!危害也非常大!!!
https://any.run/report/be0830713d84ebe82e0fd2a9380d4e4fba59b547691a14069ea024c8562396d4/a9bf8c70-7d19-46cf-b845-8afa0aef1365 ==》424232CD270B7E7D255D440D25188097B9F0E465 微步沙箱也有样本
属于mbr勒索病毒,最终效果是开机后启动不了正常系统,出现了勒索画面!!!
运行方法:
1、解码后修改后缀为exe,双击运行。可以看到是一个制作mbr勒索软件的工具:
2、点击Coxxx按钮,生成mbr-locker.exe勒索病毒。
3、针对mbr-locker.exe 微软defender报毒了:
4、运行mbr-locker,直接给强制重启。。。
5、重启后就是勒索页面,根本进不了系统,这个mbr勒索病毒还是很厉害的。
多么朴实无华的勒索页面!!!
