本帖最后由 AntiRansomwareL 于 2019-5-8 10:25 编辑
0x01 轻点开机键,接一杯咖啡,一天的工作就此开始了,这时美女同事发来了一个被勒索病毒加密了的受害者的求助,我作为老板的兄弟,岂能坐视不管?立刻投入到了与勒索病毒斗智斗勇的工作中。
0x02 点开发过来的被加密的文件
发现里面有一个readme.txt的文档,点开它
这清新的格式!这熟悉的味道!一看就是STOP勒索病毒的变种,要知道,这个勒索病毒从去年就开始出现了,但是变种的速度也是非常的快的(怀疑是作者直接卖的生成器),后缀名繁多
.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost
唯一不变的就是这个熟悉的readme.txt(所以如果遇到相同的勒索文档的,可以来试试解密大师),它加密的秘钥很有趣有两种情况:①当断网的情况下被加密,它会从自身掏出默认的秘钥进行加密,如果捕获了样本,那么恭喜你,这种情况下,你是完全可以进行解密的。②当联网的情况下,它会从网络上进行请求密钥,这种情况下,一般就GG了,不过解密大师还是提供相关的解密模块—碰撞解密模块。是的,在基本都束手无策的时候,解密大师提供了一线希望。
按照解密大师的规则,同种类型的文件是可以通过碰撞解密的,看文件类型有xlsx、jpg、pdf以及数量最多的xls,于是很潇洒的问了美女同事一句:“有xls的原文件么?”,很快她发来了一组文件
经过多次尝试,我发现我踩入了一个大坑
这些xls文件,并不是标准的xls文件,而是Unicode格式的txt文件,改了后缀名而形成的,类似csv文件,这就难受了,在没有办法的情况下,只能祭出大招了!找!作!者!作者在勒索病毒文档里说了,可以免费提供1个文件的解密,且没!限!制!大!小!
作为一名“雁过拔毛,兽走留皮”的伟大程序员,这次把注意打到了勒索病毒作者身上,还不错,他很爽快帮我免费解密了一个文件,碰撞的文件有了,可以把大部分同类型碰撞出来了。
0x03 美女同事帮用户找了找机器上其他格式的原文件,剩下的就交给解密大师去碰撞吧,忙一天了,我这帅气的脸庞似乎应该配上楼下的手抓饼才会更加的帅气,虽然没有能帮用户解决全部文件问题,但是也找回了大部分文件,所以,给自己的手抓饼里加根肠吧!
|
评论
直达楼层