一、概要：近日，病毒吧某吧友反馈其计算机感染勒索恶意程序导致无法开机。通过对恶意程序的分析得知，该恶意程序属于硬盘引导型锁机程序，其通过篡改硬盘主引导扇区数据，破坏BIOS引导流程，阻止操作系统加载。若计算机被该恶意程序攻击后，开机时屏幕会显示一串勒索信息，要求受害者支付赎金以获取解锁密码。仅当输入正确密码后，系统方可正常启动；否则将持续停留在勒索界面，无法进入操作系统。
二、具体分析：
1、锁机界面展示。

2、恶意代码展示
恶意程序运行后，首先读取硬盘主引导扇区中的原始数据，将这些数据备份至其他扇区，随后向主引导扇区写入包含勒索信息和密码验证逻辑的恶意代码。当用户输入正确密码后，恶意代码执行恢复指令，将备份的原始引导数据还原至主引导扇区，恢复系统正常启动能力。

3、锁机密码分析
通过动态分析恶意程序的锁机逻辑，发现其通过调用Windows API函数WriteFile向主引导扇区写入恶意内容。在恶意程序执行到写入勒索内容时，追踪调用栈得到WriteFile函数中lpBuffer参数的值，这个值就是指向勒索内容缓冲区的指针。随后，从该缓冲区中提取数据并分析，即可获得锁机密码。

三、安全建议。
经过测试，主流杀毒软件均可检测该锁机程序。所以请大家务必安装一个优秀杀毒软件并保持杀毒软件实时运行，而且要做到无条件相信杀毒软件的检测结果。除此之外，不随便接受来路不明的文件、不随便让不认识的人远程自己的计算机也是必须要做到的。