记录一款很有意思的PHP勒索病毒

这是一个朋友发过来的病毒样本。

网站程序是用的wordpress（老版本5.8.1）

应该是模板有后门造成的（具体原因不详，懒得分析。）

网站文件目录已经全部被加密

打开网站显示

查看源代码，没有加密，跟踪了一下。

$errorMessages = array('key' => '');
if (isset($_SERVER['REQUEST_METHOD']) && strtolower($_SERVER['REQUEST_METHOD']) === 'post') {
    if (isset($_POST['key'])) {
        $parameters = array('key' => $_POST['key']);
        mb_internal_encoding('UTF-8');
        $error = false;
        if (mb_strlen($parameters['key']) < 1) {
            $errorMessages['key'] = 'Please enter decryption key';
            $error = true;
        } else if ($parameters['key'] !== '8888') {
            // for educational purposes
            // recovery
            $errorMessages['key'] = 'Wrong decryption key';
            $error = true;
        }
        if (!$error) {
            $ransomware = new Ransomware($parameters['key']);
            $ransomware->run();
            header('Location: /');
            exit();
        }
    }
}

重点来了，密码不是动态的！！

密码就是8888

测试了一下，完全正确。

然后我翻译了一下界面

解密密钥在代码中。

解密密钥在代码中。

解密密钥在代码中。

我尼玛？

逗我呢。。。

不带这么欺负人的。。

这是啥意思。杀外行不杀同行吗？