一个C#或者.Net病毒的逆向之旅

最近为了提高沙箱的反病毒能力，特意从卡饭论坛找了一批样本，因为我觉得只有把沙箱当成黑盒测试一样，才有可能发现各种问题，之前我提需求时也是这样，就用实际的样本来跑，跑完后就会发现有很多问题，只有不断提问题（需求）才能更加促进产品的迭代更新。在之前的测试中，我们沙箱对于勒索病毒来说，检出率是很可观的，但是这次我就发现有些问题，好像C#或者说是.Net写的这个病毒，并没有检出，于是就单个拿出来分析下，为什么没有检出？沙箱哪里监控能力不足？其实我之前也没怎么分析过C#或者说是.Net写的，以前有人告诉我说，这种病毒很好分析的，因为反编译之后就是源码了，看上去很容易的，但是自己对于这些反编译后的结构不是很清楚，甚至之前都不知道要从Main函数进入查看，真的是被自己嘲笑了……

因为这是个真实的勒索病毒，会加密你的文件，这里我放一些能证明它加密文件的截图，顺便做一些说明吧

下图中有被加密文件的扩展名

有些东西可能只有经历过你才不畏惧，经历过之后就会觉得其实也都还好，没有什么太难的。