-
-
[原创]【逆向解密】WannaRen加密文件的解密方法
-
发表于: 2020-4-11 19:50
-
首先,要构造勒索病毒环境,制造勒索现场,将WINWORD.EXE和wwlib.dll放置C:\ProgramData目录下,you放在C:\Users\Public目录下
然后准备几个文件,尝试让wannaren加密,再次执行WINWORD.EXE病毒就会执行起来(或者重新启动,因为病毒会将自身注册服务开机启动)
这是最近在各大论坛十分火热的勒索病毒WannaRen,包括微博、卡饭等等,虽然名字很像某家族病毒,但实际上并不是,并且下图这个程序也并非勒索程序,而是作者提供密码后的解密程序。
庆幸的是,该作者公布了RSA的私钥,使得经过该勒索病毒加密的文件得以还原,各个厂商也都纷纷推出了工具,所以我也利用周末的时间研究了一下该样本,学习一下如何调用库来解密这些文件。
真正勒索程序是下面这张图片的dll模块,WINWORD.EXE是白文件,wwlib.dll是恶意代码的主要模块,you为加密的病毒数据文件
该勒索病毒wannaren使用的是RSA+RC4组合加密文件,没有密钥的情况下很难解密,但是因为RC4强度并不高也可以通过爆破来解密,因为作者公开了其密钥,所以使得这个勒索病毒可以解密,这篇文章将不再详述逆向分析病毒的行为,因为已经有安全厂商的报告说明的很详细了,主要目的是如何解密被wannaren加密的文件。
首先,要构造勒索病毒环境,制造勒索现场,将WINWORD.EXE和wwlib.dll放置C:\ProgramData目录下,you放在C:\Users\Public目录下
执行WINWORD.EXE 目录下会生成一个ym文件,使用记事本打开将时间调整到系统当前时间的几天前(我改的4天)
这是被勒索文件的结构:
CR4加密数据解密后文件的头与尾部有标记存在,所以在内存中将标记清除才能还原文件 。
编译环境是win10+Visual Studio 2017
我使用的是OpenSSL进行解密的下载地址:a97K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6L8s2m8J5L8%4N6W2j5W2)9J5k6h3y4G2L8g2)9J5c8Y4m8J5L8$3c8#2j5%4c8K6i4K6u0r3g2$3W2F1x3K6u0a6M7r3g2F1f1#2y4x3i4K6u0W2K9s2c8E0L8l9`.`.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-4-18 11:35
被Cc28256编辑
,原因:
|
|
|---|---|
|
|
 之前本地实验一直无法加密,原来是需要修改fm文件里的时间,楼主,你好棒!
|
|
|
|
|
|
|
|
|
|
