首页
社区
课程
招聘
[原创]【逆向解密】WannaRen加密文件的解密方法
发表于: 2020-4-11 19:50 23051

[原创]【逆向解密】WannaRen加密文件的解密方法

2020-4-11 19:50
23051

首先,要构造勒索病毒环境,制造勒索现场,将WINWORD.EXE和wwlib.dll放置C:\ProgramData目录下,you放在C:\Users\Public目录下


然后准备几个文件,尝试让wannaren加密,再次执行WINWORD.EXE病毒就会执行起来(或者重新启动,因为病毒会将自身注册服务开机启动)

这是最近在各大论坛十分火热的勒索病毒WannaRen,包括微博、卡饭等等,虽然名字很像某家族病毒,但实际上并不是,并且下图这个程序也并非勒索程序,而是作者提供密码后的解密程序。 

庆幸的是,该作者公布了RSA的私钥,使得经过该勒索病毒加密的文件得以还原,各个厂商也都纷纷推出了工具,所以我也利用周末的时间研究了一下该样本,学习一下如何调用库来解密这些文件。
真正勒索程序是下面这张图片的dll模块,WINWORD.EXE是白文件,wwlib.dll是恶意代码的主要模块,you为加密的病毒数据文件

该勒索病毒wannaren使用的是RSA+RC4组合加密文件,没有密钥的情况下很难解密,但是因为RC4强度并不高也可以通过爆破来解密,因为作者公开了其密钥,所以使得这个勒索病毒可以解密,这篇文章将不再详述逆向分析病毒的行为,因为已经有安全厂商的报告说明的很详细了,主要目的是如何解密被wannaren加密的文件。

首先,要构造勒索病毒环境,制造勒索现场,将WINWORD.EXE和wwlib.dll放置C:\ProgramData目录下,you放在C:\Users\Public目录下

执行WINWORD.EXE 目录下会生成一个ym文件,使用记事本打开将时间调整到系统当前时间的几天前(我改的4天)



这是被勒索文件的结构: 

CR4加密数据解密后文件的头与尾部有标记存在,所以在内存中将标记清除才能还原文件 。
编译环境是win10+Visual Studio 2017
我使用的是OpenSSL进行解密的下载地址:https://slproweb.com/products/Win32OpenSSL.html

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-4-18 11:35 被Cc28256编辑 ,原因:
上传的附件:
收藏
免费 1
支持
分享
最新回复 (4)
雪    币: 17428
活跃值: (5009)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
2
之前本地实验一直无法加密,原来是需要修改fm文件里的时间,楼主,你好棒!
2020-4-11 22:39
0
雪    币: 2322
活跃值: (8735)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
3
还要修改文件里面的时间?难怪我一直跑不出行为。。。
2020-4-12 08:59
0
雪    币: 10845
活跃值: (1054)
能力值: (RANK:190 )
在线值:
发帖
回帖
粉丝
4
感谢LZ分享
2020-12-23 11:53
0
雪    币: 2604
活跃值: (231)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
感谢,另外环世界瞩目
2021-2-4 02:48
0
游客
登录 | 注册 方可回帖
返回
//