判断可能具有反虚拟机能力，据传有穿透虚拟化能力，打开软件无效果，初步判断套了软件壳

打开过检测的虚拟机，据说会加密win10，

因此拿win7进行检测，这是网友分享的据说是原版的样本

下载进行测试，发现360大爷直接报毒

关闭360和360相关的安全模块，为了宿主机安全起见，断开虚拟机网卡，且拍摄快照，打开宿主机两个安全软件

直接赋予管理员权限运行

可能是因为win7的缘故，我没能见识到他的发作，只有一个怪异的页面。说明缴纳0.05的BTC。但是，，这方方块块的边框是怎么回事？？？巨眼熟有没有。

？？？

真的是似曾相识，有点眼熟啊。

莫非我拿的真的是假的？？

反编译试试看

直接丢到OD里面，在搜索ASCII和Unicode，还卡住了，还有这乱糟糟的内容，一定具有加密壳

等了5分钟终于载入出来了，然后翻着翻着看到这个区块。

我4不4发现了什么不对劲的东西，这个完美的程序为什么有如此怪异的名字？

好像是有点像？

and。。。。

这个奇妙的字段又代表着什么。。。

继续翻看数据内容，发现调用了打印机的借口？人类迷惑行为。

这么壕无人性的程序您居然是用易语言写的？？？

放在微步云沙箱测试看看

还发现发起了TCP连接，目标疑似是一个谷歌云的北京节点（为啥在国内诶？）

从另外一份分析中看出，这个地址不是唯一的，经过直接访问，发现是谷歌云CDN节点

对于为什么有一个访问谷歌的CDN地址，我做出如下两个判断

1.程序可能调用其作者部署在网站上API接口来验证是否为正确密匙。
2.可能还存在一个核心的解密程序，分发在谷歌云的CDN上来实现全球操作

第一种问题倒是不大，吾本人倒是比较惧怕出现第二种情况，若这个程序纯粹只是一个用作验证秘钥的程序，那么用于真正解密的核心程序是否会在用户电脑上埋雷？这就无从考究了

看起来VMP壳的猜测是对的，但是依然不确定是否为易语言程序以及是否为源病毒。为此，我联系上了群内的一位逆向大佬，等待明天回音。

对于加密文件和传播，目前没发现这个EXE具有加密行为，也未进行除谷歌云的443端口外的其他端口的请求，严重怀疑拿到的是释放文件。

上图是据说原版的多个版本，在win7下均未出现问题，如前文所述如出一辙。

写到这里的时候，大佬也回了我的疑问。

大佬非常确信的验证了我的假想

总结：目前所测试的程序由易语言编写而成，不具有传播能力，外包VMP软件壳加密内容，反调试。且调用未知的谷歌CDN节点地址，疑似空壳或单一功能的释放文件。

后续如何请看明日后续