对WannaRen勒索病毒的逆向

工具：

OD （吾爱破解的论坛上下载的）

C32Asm

样本： 

wwwlib.dll (md5: 9854723bf668c0303a966f2c282f72ea)

you (md5: 2d84337218e87a7e99245bd8b53d6eab)

我们先打开虚拟机：

将wwwlib.dll载入OD中，OD会提示我们是否要启动LOADDLL，我们选择是

在下面的Command里面，我们输入bp CreateFileW,然后敲回车，则对CreateFileW下好了断点

我们按一下F9，则断点会断在CreateFileW处，参数为C:\users\public\fm，权限为 GENERIC_WRITE

我们继续按F9，可以发现程序退出了，所以肯定有什么地方漏跑了

没关系，我们按Ctrl + F2，重新跑起来

发现OD直接断在了CreateFileW处，我们继续按F9，直到再次断在打开fm文件处，此时权限已变为了GENERIC_READ，证明有些函数已经判断过这个文件是否存在了，我们现在用文本文档打开这个fm，看看里面写入了什么

可以肯定的是，第一次启动wwwlib.dll的时间，那么再次读取做了什么呢？我们可以大胆的猜测是作者的延迟运行的功能，我们为了废掉这个功能，删除掉这个文件就可以了。继续按F9，发现我们的程序的下一个断点的参数是 C:\users\public\you，权限是GENERIC_READ，很好，终于进入正题了

我们拷贝一份下载的you，放入该位置，并对ReadFile下断点，命令是 bp ReadFile

我们继续按F9，发现我们的断点断在了ReadFile，我们右击参数buffer

选择数据窗口跟随

我们按Ctrl + F9

断在了ReadFile执行完毕的位置，发现内容已经读取完毕了，我们在内容处下断点，选中四个字节，右击→断点→硬件访问→DWORD   右击→断点→硬件写入→DWORD

我们按F9，继续执行，断在非代码段上面

我们按Ctrl + A 重新让OD分析一下

我们发现在2992偏移处，读取了我们刚刚从you文件读取中的数据，经过处理，最后放入ebx中，ebx的值为[local.11]的值，我们多次按F8单步到ebx再次赋完值

右击ebx，数据窗口跟随

再次按F8，发现数据已经写入

我们观察，在29BB处为长跳转，并循环执行之前的代码，所以可以断定是通过该处函数将you里面的内容解码出来的，并写入该处内存地址。

我们鼠标点击29C0，按一下F2，对该处下断点

我们取消掉硬件断点，点击调试→硬件断点

将两个硬件断点全部删掉，并点击确认

我们继续按F9

我们发现数据已经完全解密出来了，对于一个EXE文件，头两个字节必然是MZ，而且还有对应的字符串特征，所以，断定，这是一个exe，我们将该文件dump下来，右击数据→备份→保存数据到文件

这里我们命名为_03090000.mem

我们使用C32Asm的16进制编辑模式打开保存的该mem文件，因为我们的数据是从0x28开始的，所以我们还需要将之前的内容删掉

选中后，按Delete，点击文件，保存

我们将_03090000.mem后缀改为exe，即

可以发现它变成了一个正常的可运行的易语言程序，我们测试一下，右击管理员权限运行，打开任务管理器，发现它正在占用cpu正在加密

经过一段时间的等待，我们的文件已经被加密掉，所以，验证了该文件即为勒索病毒加密本体

安装360安全卫士后，点击功能大全→数据安全→解密大师，即可扫描一键解密

我们点击下面的目录打开解密后的目录

文件已经可以完全解密出来 作者：网络安全民间响应组织 https://www.bilibili.com/read/cv5564012/?from=search&spm_id_from=333.337.0.0 出处：bilibili