image.png
我们已经发现这个恶意软件是一个勒索软件。查找攻击者的比特币地址。**

勒索软件总喜欢把勒索标志丢在显眼的地方,所以搜索桌面的记录

volatility.exe -f .\OtterCTF.vmem --profile=Win7SP1x64 filescan | Select-String “Desktop”

image.png

0x000000007d660500 2 0 -W-r-- \Device\HarddiskVolume1\Users\Rick\Desktop\READ_IT.txt
0x000000007e410890 16 0 R–r-- \Device\HarddiskVolume1\Users\Rick\Desktop\Flag.txt

这两个很可疑
提取出来看看
image.png
查看
image.png
flag 好像没有啥 乱码
read 文件

Your files have been encrypted.
Read the Program for more information
read program for more information.

您的文件已被加密。
阅读程序了解更多信息
阅读程序了解更多信息。

意思好像被加密了
提示我们查看程序获得更多信息(就是上面的vmware-tray.exe)
image.png
image.png
根据提示是勒索病毒 (ransomware)
搜索 他

strings -e l 3720.dmp | grep -i -A 5 “ransomware”

image.png
可疑

1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M

成功,是flag

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部