Challenge 7 – Ransomeware

Purpose: Input the correct key to decrypt file (EXE)

File name: run.exe

File type: Portable Executable 32

File info: UPX v3.0

reversing-kr-ransomware-1

Using CFF explorer to unpacked this file, then using IDA to decompile it. First, program calculate lenght of key [ebp – 0C] and open the “file” (encrypted file)

reversing-kr-ransomware-2

Then, it read file to memory at byte_5415B8

reversing-kr-ransomware-3

Then, the memoy will be decrypted with key.

reversing-kr-ransomware-4

Look to the ASM code, we can rewrite decrypt code segment to Python

reversing-kr-ransomware-5

That is xor encrypt, if we find the part of clear file, we will find out the key. As we all know, EXE files have the same dos_header. So we can easily find the key.

reversing-kr-ransomware-6

Key = letsplaychess

Enter key to decrypt file, we get “file” is PE file. Then we run and get the flag. (Notice if windows decide file msvcr100d.dll, download it to same folder and run again)

reversing-kr-ransomware-7

Flag: Colle System

Trả lời

Điền thông tin vào ô dưới đây hoặc nhấn vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s

%d người thích bài này: