本文为看雪论优秀文章
看雪论坛作者ID:Cc28256
WannaRen简介
这是最近在各大论坛十分火热的勒索病毒WannaRen,包括微博、卡饭等等,虽然名字很像某家族病毒,但实际上并不是,并且下图这个程序也并非勒索程序,而是作者提供密码后的解密程序。 庆幸的是,该作者公布了RSA的私钥,使得经过该勒索病毒加密的文件得以还原,各个厂商也都纷纷推出了工具,所以我也利用周末的时间研究了一下该样本,学习一下如何调用库来解密这些文件。
真正勒索程序是下面这张图片的dll模块,WINWORD.EXE是白文件,wwlib.dll是恶意代码的主要模块,you为加密的病毒数据文件。
该勒索病毒wannaren使用的是RSA+RC4组合加密文件,没有密钥的情况下很难解密,但是因为RC4强度并不高也可以通过爆破来解密,因为作者公开了其密钥,所以使得这个勒索病毒可以解密,这篇文章将不再详述逆向分析病毒的行为,因为已经有安全厂商的报告说明的很详细了,主要目的是如何解密被wannaren加密的文件。
获取加密文件
首先,要构造勒索病毒环境,制造勒索现场,将WINWORD.EXE和wwlib.dll放置C:\ProgramData目录下,you放在C:\Users\Public目录下: 执行WINWORD.EXE 目录下会生成一个ym文件,使用记事本打开将时间调整到系统当前时间的几天前(我改的4天):
然后准备几个文件,尝试让wannaren加密,再次执行WINWORD.EXE病毒就会执行起来(或者重新启动,因为病毒会将自身注册服务开机启动)
这是被勒索文件的结构:
最低0.47元/天 解锁文章
869
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
