逆向分析-Ollydbg动态跟踪Ransomware.exe恶意锁机程序

1.认识Ollydbg

Ollydbg是一个新的动态追踪工具，将IDA与SoftICE结合起来的思想，Ring 3级调试器，非常容易上手，己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能，是目前最强大的调试工具。

Ollydbg快捷键

F2：设置断点；F8：单步步过；F7：单步步入；F4：运行到选定位置（运行到光标所在位置暂停）；F9：运行（如果设置断点的程序就会停到断点处，反之程序一直运行到结束）；CTRL+F9：执行到返回（执行，直至遇到返回指令ret后暂停），重新加载-后退按钮。

2.Ransomwaree.exe

本文所分析的恶意程序-Ransomwar.exe是很多年以前，在一位好心博主分享的站点上免费下载的，原名叫：英雄之刃全图辅助_内部定制版.exe，时隔多年很想链接跳转到原文以示感谢，但怎么也找不着了。。。念叨博主800次，感谢……

此恶意病毒仅限于学习逆向分析使用，程序能实现电脑锁机，破解需要密码，且即使破解了也会丢失部分原始数据。因此强烈建议在虚拟机中逆向分析。

请勿在真实网络环境中运行或传播，否则责任自负。。。。

3.逆向分析

（1）运行恶意代码Ransomware.exe，初步判定恶意代码的类型。

1.下载Ransomware.exe恶意程序。

2.虚拟机拍快照（非常重要！务必完成！）。

３.在虚拟机中运行恶意程序Ransomware.exe。

运行完发现电脑被锁机了，初步判定该恶意代码是一个锁机勒索程序。

（2）恢复快照，分析锁机程序实现机理

疑问：上图锁机效果如何实现？

解答：Windows系统创建新的登录账户，屏蔽以前的账户。

疑问：Windows系统如何创建新的登录账户？

解答：调用cmd。如：net user 用户名 密码 /add 

因此：在动态跟踪恶意代码时，我们要关注在何时何地调用了cmd。

（3）使用OllyDbg动态跟踪恶意代码Ransomware，分析恶意代码行为。

1.利用OllyDbg动态跟踪Ransomware.exe。

2.字符串里寻找 “cmd.exe /c”。插件-中文搜索引擎-搜索ASCII码

3.双击字符串“cmd.exe /c”，跳转到调用语句，该语句的地位为（）并在该地址处按F2下断点。

4.按F9快捷键使程序运行到断点。

6.按F8快捷键,向下单步运行一条指令（不进入子程序）。在信息窗口发现有一个文件路径入栈，是临时目录里面的一个批处理文件。该文件路径为（），文件名为（）

打开临时目录，发现不能直观地看到文件0FRSCHOU.bat。由此猜想设置了隐藏属性。

点击组织-文件夹和搜索选项-查看-隐藏文件和文件夹-显示隐藏的文件、文件夹和驱动器。设置系统隐藏文件可见，就看到了这个批处理文件。

（4）根据逆向分析，求解恶意程序的破解密码，完成账户解锁。

1.选中文件-右键-编辑，查看批处理脚本。

2.参考文章-批处理常用命令总结。分析脚本0FRSCHOU.bat，此处新创建了2个激活账户，他们的用户名为“ aeon+随机数”和“要解密加QQ360665490”；密码均（lzj_随机数后两位和后三位的）。到这里，帐户名和密码就已经知道了。密码是“lzj_”加上有一个前缀为“aeon”的帐户后面五位随机数的后两位和后三位。例如随机数是“12345”，则密码为“lzj_45345”。

3.这里的随机数为aeon的后五位：16313，所以解密密码为lzj_13313。输入密码进入系统，动态分析完成。