WannaRen中怎么逆向勒索病毒

WannaRen中怎么逆向勒索病毒，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

我們先打開虛擬機：

將wwwlib.dll載入OD中，OD會提示我們是否要啟動LOADDLL，我們選擇是

在下面的Command里面，我們輸入bp CreateFileW,然后敲回車，則對CreateFileW下好了斷點

我們按一下F9，則斷點會斷在CreateFileW處，參數為C:\users\public\fm，權限為 GENERIC_WRITE

我們繼續按F9，可以發現程序退出了，所以肯定有什么地方漏跑了

沒關系，我們按Ctrl + F2，重新跑起來

發現OD直接斷在了CreateFileW處，我們繼續按F9，直到再次斷在打開fm文件處，此時權限已變為了GENERIC_READ，證明有些函數已經判斷過這個文件是否存在了，我們現在用文本文檔打開這個fm，看看里面寫入了什么

可以肯定的是，第一次啟動wwwlib.dll的時間，那么再次讀取做了什么呢？我們可以大膽的猜測是作者的延遲運行的功能，我們為了廢掉這個功能，刪除掉這個文件就可以了。繼續按F9，發現我們的程序的下一個斷點的參數是 C:\users\public\you，權限是GENERIC_READ，很好，終于進入正題了

我們拷貝一份下載的you，放入該位置，并對ReadFile下斷點，命令是 bp ReadFile我們繼續按F9，發現我們的斷點斷在了ReadFile，我們右擊參數buffer

選擇數據窗口跟隨

我們按Ctrl + F9

斷在了ReadFile執行完畢的位置，發現內容已經讀取完畢了，我們在內容處下斷點，選中四個字節，右擊→斷點→硬件訪問→DWORD   右擊→斷點→硬件寫入→DWORD

我們按F9，繼續執行，斷在非代碼段上面我們按Ctrl + A 重新讓OD分析一下

我們發現在2992偏移處，讀取了我們剛剛從you文件讀取中的數據，經過處理，最后放入ebx中，ebx的值為[local.11]的值，我們多次按F8單步到ebx再次賦完值

右擊ebx，數據窗口跟隨    

再次按F8，發現數據已經寫入    

我們觀察，在29BB處為長跳轉，并循環執行之前的代碼，所以可以斷定是通過該處函數將you里面的內容解碼出來的，并寫入該處內存地址。

我們鼠標點擊29C0，按一下F2，對該處下斷點

我們取消掉硬件斷點，點擊調試→硬件斷點    

將兩個硬件斷點全部刪掉，并點擊確認

我們繼續按F9

我們發現數據已經完全解密出來了，對于一個EXE文件，頭兩個字節必然是MZ，而且還有對應的字符串特征，所以，斷定，這是一個exe，我們將該文件dump下來，右擊數據→備份→保存數據到文件    

這里我們命名為_03090000.mem

我們使用C32Asm的16進制編輯模式打開保存的該mem文件，因為我們的數據是從0x28開始的，所以我們還需要將之前的內容刪掉

選中后，按Delete，點擊文件，保存

我們將_03090000.mem后綴改為exe，即可以發現它變成了一個正常的可運行的易語言程序

我們測試一下，右擊管理員權限運行，打開任務管理器，發現它正在占用cpu正在加密經過一段時間的等待，我們的文件已經被加密掉，所以，驗證了該文件即為勒索病毒加密本體

安裝360安全衛士后，點擊功能大全→數據安全→解密大師，即可掃描一鍵解密我們點擊下面的目錄打開解密后的目錄

關于WannaRen中怎么逆向勒索病毒問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。