一枚勒索病毒样本分析（与重构）

huzpsb · 发表于 2019-6-4 17:58

本帖最后由 huzpsb 于 2019-6-4 22:06 编辑

基本信息
作者:ssvyi
壳:vmp2.02
样本：http://t.cn/Ai9pDKav
virscan:http://www.virscan.org/scan/3d5f65ed7beec77307912e2b63dda29b

楼主又在瞎下载软件，被小学生了。啊啊啊，怎么办，我不是虚拟机

首先，老套路，肯定是先进沙箱。
捕获2.PNG

黑月？易语言！
小学生怀疑+1.
标准的，易语言特征码只有一个！
有人问，是怎么看出des的。
其实很简单（我试的）
毕竟很多时候，易语言就两个算法。
是哪一个，猜一下都可以。
push 1000
捕获3.PNG

没有问题，绝对是无脑des.
来，字符串伺候。
vmp嘛，内存字符串就好。
密码3秒："pas"
于是随手一个解密工具。

解密工具.zip (323.42 KB, 下载次数: 26)
好了，楼主的数据回来了，让我继续。
很明显，它遍历了C盘的所有文件，
捕获.PNG

小学生永远是小学生，
算法很简单，
就是遍历+加密。。。
故不用再进一步分析。

按理说，分析就此结束，但是我也想小学生一把。
不行，看不下去了，我要模仿一个。
怎么搞捏~~？
刚才那一半粗枝大叶的分析肯定不行。
让我们再一次分析流程。
无标题.png

大体如此。
那先构造主函数。。。
捕获6.PNG

差不多，至少我感觉没什么区别。
也许有吧，但是，无所谓了。
作者只加密了C盘，但，既然是逆向
虽然我认为这样十分愚蠢，但是，尊重作者。
捕获7.PNG

标准装载函数。
还有我们的版本信息。
捕获.PNG

一模一样。。。
那差不多也就这样，不早了，睡了。
逆向出来源代码差不多是：

r.zip (7.74 KB, 下载次数: 2)
防小人。混淆过。
全文完。

CNGEGE · 发表于 2019-6-21 15:11

kamui 发表于 2019-6-6 00:38
c盘真全加密了不是应该都启动不了么

有些文件加密不了权限不足

shaokui123 · 发表于 2019-6-4 18:30

发作啥样子，有图片吗

w5645060 · 发表于 2019-6-4 19:25

提示: 作者被禁止或删除内容自动屏蔽

瞌睡虎 · 发表于 2019-6-4 20:36

大哥有没有PCF转换工具？

466162659 · 发表于 2019-6-4 20:50

大佬大佬............

blindcat · 发表于 2019-6-4 21:51

看不懂，大佬大佬 ……

llxpeter · 发表于 2019-6-4 22:33

楼主牛逼呀

smith168668 · 发表于 2019-6-5 00:05

可以详细点吗？

whg118 · 发表于 2019-6-5 08:25

看得从云里到雾里，PM值爆表。

hqm2019 · 发表于 2019-6-5 09:36

大佬牛逼，就是不够详细

帐号		自动登录	找回密码
密码			注册[Register]

w5645060 w5645060 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	w5645060 发表于 2019-6-4 19:25 《站点帮助文档》有什么问题来这里看看吧，这里有你想知道的内容！提示: 作者被禁止或删除内容自动屏蔽
	呼吁大家发布原创作品添加吾爱破解论坛标识！
	回复支持举报

[PC样本分析] 一枚勒索病毒样本分析（与重构）