一枚勒索病毒样本分析(与重构)
本帖最后由 huzpsb 于 2019-6-4 22:06 编辑基本信息作者:ssvyi壳:vmp2.02样本:http://t.cn/Ai9pDKavvirscan:http://www.virscan.org/scan/3d5f65ed7beec77307912e2b63dda29b
楼主又在瞎下载软件,被小学生了。啊啊啊,怎么办,我不是虚拟机{:1_925:}
首先,老套路,肯定是先进沙箱。
黑月?易语言!
小学生怀疑+1.
标准的,易语言特征码只有一个!
有人问,是怎么看出des的。
其实很简单(我试的)
毕竟很多时候,易语言就两个算法。
是哪一个,猜一下都可以。
push 1000
没有问题,绝对是无脑des.
来,字符串伺候。
vmp嘛,内存字符串就好。
密码3秒:"pas"
于是随手一个解密工具。
好了,楼主的数据回来了,让我继续。
很明显,它遍历了C盘的所有文件,
小学生永远是小学生,
算法很简单,
就是遍历+加密。。。
故不用再进一步分析。
按理说,分析就此结束,但是我也想小学生一把。
不行,看不下去了,我要模仿一个。
怎么搞捏~~?
刚才那一半粗枝大叶的分析肯定不行。
让我们再一次分析流程。
大体如此。
那先构造主函数。。。
差不多,至少我感觉没什么区别。
也许有吧,但是,无所谓了。
作者只加密了C盘,但,既然是逆向
虽然我认为这样十分愚蠢,但是,尊重作者。
标准装载函数。
还有我们的版本信息。
一模一样。。。
那差不多也就这样,不早了,睡了。
逆向出来源代码差不多是:
防小人。混淆过。
全文完。 kamui 发表于 2019-6-6 00:38
c盘真全加密了不是应该都启动不了么
有些文件加密不了 权限不足 发作啥样子,有图片吗 大哥有没有PCF转换工具? 大佬大佬............ 看不懂,大佬大佬 …… 楼主牛逼呀 可以详细点吗? 看得从云里到雾里,PM值爆表。 大佬牛逼,就是不够详细