我们已经发现这个恶意软件是一个勒索软件。查找攻击者的比特币地址。**

勒索软件总喜欢把勒索标志丢在显眼的地方，所以搜索桌面的记录

volatility.exe -f .\OtterCTF.vmem --profile=Win7SP1x64 filescan | Select-String “Desktop”

0x000000007d660500 2 0 -W-r-- \Device\HarddiskVolume1\Users\Rick\Desktop\READ_IT.txt
0x000000007e410890 16 0 R–r-- \Device\HarddiskVolume1\Users\Rick\Desktop\Flag.txt

这两个很可疑
提取出来看看

查看

flag 好像没有啥 乱码
read 文件

Your files have been encrypted.
Read the Program for more information
read program for more information.

您的文件已被加密。
阅读程序了解更多信息
阅读程序了解更多信息。

意思好像被加密了
提示我们查看程序获得更多信息（就是上面的vmware-tray.exe）


根据提示是勒索病毒 （ransomware）
搜索 他

strings -e l 3720.dmp | grep -i -A 5 “ransomware”

可疑

1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M

成功，是flag