reversing.kr - Ransomeware

립케알 랜섬웨어 문제를 풀어보겠습니다.

 

 

 

 

 

이 문제 입니다.

 

 

 

 

 

이러한 readme.txt파일이 있습니다.

EXE파일을 복호화 하라고 하네요.

 

 

 

 

 

 

 

파일 입니다.

 

 

 

 

 

 

 

실행파일 입니다.

한번 실행해보겠습니다.

 

 

 

 

 

 

 

 

자신이 나쁜놈이라면서 파일을 돈을 내고 받은 키값으로 파일을 복구하라고 하네요.

무섭기 때문에 키값은 입력하지 않겠습니다. (ㅠㅠ)

 

 

 

 

 

 

 

 

 

UPX패킹 입니다.

 

 

 

 

 

 

 

 

popad밑 jmp로 와서 f7을 눌러줍니다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

원본코드 입니다.

 

 

 

 

 

 

 

 

 

Key : 부분에 bp를 걸고 f9를 눌러보겠습니다.

 

 

 

 

 

 

 

123456을 입력했습니다.

 

 

 

 

 

 

 

 

 

fopen("file","rb")로 fopen을 호출합니다.

 

 

 

 

 

 

fseek으로 파일 포인터를 0으로 맞춰주고,

rewind로 파일 포인터를 0으로 맞춰줍니다.

 

 

ftell은 파일의 크기를 반환해줍니다.

[ebp-10]에 ftell의 반환값이 들어갔습니다.

0x2400입니다.

 

 

 

 

 

 

 

이런식으로 암호화 합니다.

 

 

 

 

 

위에서 암호화 한것을 여기부분에서 파일로 만듭니다.

 

그리고 파일 복구했다고 출력합니다.

 

 

 

 

 

그러면 저희는 암호화 key를 어떠한 방식으로 알아낼 수 있을까요?

 

 

 

 

 

정상적인 EXE파일을 HXD로 연것입니다.  

 

 

 

 

다른 EXE를 HXD로 열었습니다.

 

0x4E~0x74까지 같습니다.

저것을 이용해서 암호화 코드를 알아내겠습니다.

 

 

 

 

 

file을 HXD로 열었습니다.

C7 F2 E2 FF ...와, 54 68 69....를 파이썬 코드에 넣어보겠습니다.

 

 

 

 

 

이런식으로 파이썬 파일에 넣었습니다.

 

이제 KEY를 알아내기 위해서 코드를 짜보겠습니다.

 

 

 

 

 

 

 

출력을 해보겠습니다.

 

 

 

 

letsplaychessletsplaychessletsplayches입니다.

letsplaychess이것이 반복됩니다.

 

letsplaychess가 KEY 입니다.

 

 

 

 

 

 

 

 

file의 이름을 file.exe로 만들고 실행해보겠습니다.

 

 

 

 

 

정답 : Colle System