我们已经发现这个恶意软件是一个勒索软件。查找攻击者的比特币地址。**
勒索软件总喜欢把勒索标志丢在显眼的地方,所以搜索桌面的记录
volatility.exe -f .\OtterCTF.vmem --profile=Win7SP1x64 filescan | Select-String “Desktop”
0x000000007d660500 2 0 -W-r-- \Device\HarddiskVolume1\Users\Rick\Desktop\READ_IT.txt
0x000000007e410890 16 0 R–r-- \Device\HarddiskVolume1\Users\Rick\Desktop\Flag.txt
这两个很可疑
提取出来看看
查看
flag 好像没有啥 乱码
read 文件
Your files have been encrypted.
Read the Program for more information
read program for more information.
您的文件已被加密。
阅读程序了解更多信息
阅读程序了解更多信息。
意思好像被加密了
提示我们查看程序获得更多信息(就是上面的vmware-tray.exe)
根据提示是勒索病毒 (ransomware)
搜索 他
strings -e l 3720.dmp | grep -i -A 5 “ransomware”
可疑
1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M
成功,是flag
本站资源均来自互联网,仅供研究学习,禁止违法使用和商用,产生法律纠纷本站概不负责!如果侵犯了您的权益请与我们联系!
转载请注明出处: 免费源码网-免费的源码资源网站 » [OtterCTF 2018]Bit 4 Bit
发表评论 取消回复