首页
社区
课程
招聘
[原创]WannaRen病毒逆向分析报告
发表于: 2020-5-3 21:15 10407

[原创]WannaRen病毒逆向分析报告

2020-5-3 21:15
10407

这个病毒作者已经公开了私钥,解密工具也制作出来了,我就当是学习逆向对整个病毒进行分析一下。

虚拟机环境:win10x64    网络状态:飞行模式(因为不知道会不会内网感染)

病毒样本放在百度网盘了,在后面有下载链接。




下载之后有三个文件,一开始我以为运行exe就会完蛋,但是想的太简单了。

更具火绒发的报告,程序传输途径可以是某西下载园,所以exe需要放在C:\ProgramData目录下,然后还是不行,调用的的dll也要放到C:\ProgramData下,因为调用的是硬编码,应该是编程的时候放在项目文件下调用的,然后运行还是没啥动静,那个you文件是虚拟保护过的,没啥变化,最后根据收集到的信息,才知道you文件需要放到C:\Users\Public,下才可以。


第一次运行exe会在C:\Users\Public生成一个fm文件:

里面记录了第一次运行的时间:

然后第二次运行,病毒就开始工作了,表现就是虚拟机的文件全部被加密了,包括文档和压缩包,后缀多一个.WannaRen:

用二进制编辑器打开,文件头尾都有特殊关键字:

桌面有勒索信和图:

打开欣赏一下:

(英文很有百度翻译的味道)

到这里整个复现就完成了,还是折腾了一点时间。



首先康康这个exe,很干净:

就一个导入结构,调用lib文件。

动态调试一下:

RVA1272检查路径是否在指定路径下:

然后调用这个DLL之后,就退出了程序,他用的是硬编码,编程的时候dll应该是和程序放在同一个目录下:


然后就退出程序了,连createfile都没调用,看来fm文件是在这个dll里面创建。





od载入这个病毒wwlib.dll:


如果第一次动态调试的话,应该停在下面位置:

单步几下看看,程序被vmp过,而且没找到中心调度(可能有我没看到),也没找到跳转表,估计是保护全开了,程序大小也着实很大:

run跟踪也没什么看的,可读性很低:


另辟其他路,之前运行的时候有创建fm这个文件,那就对CreateFileA,CreatFileW, readfile都下断点,调用这些win api是需要出虚拟机的:


然后运行,有点收获,create文件,读写权限:

之后又是读取此文件,不知道干什么。



继续f9肯定会在readfile断下:

数据窗口跟随buffer,运行到ret,说明之前的create函数就是写入时间的:



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-5-3 22:36 被菜鸟m号编辑 ,原因: 图片没了
收藏
免费 6
支持
分享
最新回复 (16)
雪    币: 425
活跃值: (2886)
能力值: ( LV11,RANK:185 )
在线值:
发帖
回帖
粉丝
2
?我的图片呢
2020-5-3 21:20
0
雪    币: 399
活跃值: (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
图片挂了
2020-5-3 21:29
0
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
4
菜鸟m号 ?我的图片呢 [em_1]
稍等,帖子先不要编辑,我们找下原因,能恢复的。
2020-5-3 22:29
0
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不错
2020-5-5 03:56
0
雪    币: 2677
活跃值: (5340)
能力值: ( LV10,RANK:177 )
在线值:
发帖
回帖
粉丝
6
大佬牛B!
2020-5-5 11:15
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
2020-5-5 15:20
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
压缩包的密码是多少了
2020-5-5 15:29
0
雪    币: 20
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
压缩包的密码是多少了
+1
2020-5-15 21:06
0
雪    币: 482
活跃值: (450)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
密码是:52pojie
2020-5-22 19:31
0
雪    币: 205
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
听说点赞花了俺15雪币
2020-5-22 20:10
0
雪    币: 13067
活跃值: (5728)
能力值: ( LV5,RANK:77 )
在线值:
发帖
回帖
粉丝
qux
12
fm文件记录的是日期,这个勒索病毒会检查时间,超过72小时才会做加密文件的操作。  
感谢楼主的ReadFile思路,之前看火绒的分析,还以为把vmp给日了,原来是这样的思路,学到了。
2020-5-23 22:34
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
13
哥哥,能把真正病毒程序(那个易语言程序)分享一下吗。
2020-5-25 10:19
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
我把那个exe和dll文件放在c:\programData目录下,将You文件放在了c:\users\public下了,但是看到了fm文件,为什么第二次运行不了,点击exe文件没有看到勒索信息??
2020-6-2 21:10
0
雪    币: 425
活跃值: (2886)
能力值: ( LV11,RANK:185 )
在线值:
发帖
回帖
粉丝
15
云天水瓶 我把那个exe和dll文件放在c:\programData目录下,将You文件放在了c:\users\public下了,但是看到了fm文件,为什么第二次运行不了,点击exe文件没有看到勒索信息??
根据楼上回到好像是要三个小时,你试试改改fm文件里面的时间,改到三四天前试试
2020-6-2 21:38
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
16
大佬,在buf那下了硬件断点之后f9直接退出程序了怎么搞
2020-7-29 11:02
0
雪    币: 47
活跃值: (386)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
2023-4-18 11:22
0
游客
登录 | 注册 方可回帖
返回
//