如何恢復被MaMoCrypt勒索軟件加密的數據
發(fā)布時(shí)間:2021-08-23 15:12
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
這篇文章主要講解了“如何恢復被MaMoCrypt勒索軟件加密的數據”�����,文中的講解內容簡(jiǎn)單清晰����,易于學(xué)習與理解��,下面請大家跟著(zhù)小編的思路慢慢深入����,一起來(lái)研究和學(xué)習“如何恢復被MaMoCrypt勒索軟件加密的數據”吧�����!
寫(xiě)在前面的話(huà)
MaMoCrypt是一款臭名昭著(zhù)的勒索軟件����,該勒索軟件從去年的十二月份開(kāi)始活躍����,深受其害的用戶(hù)可以算是不計其數了�����。那么在這篇文章中�����,我們將告訴大家如何恢復����、解密被MaMoCrypt勒索軟件加密的數據���。
MaMoCrypt是一款非常與眾不同的勒索軟件����,這款勒索軟件采用Delphi開(kāi)發(fā)��,并且使用了mpress進(jìn)行封裝��,是MZRevenge的一個(gè)變種版本�。
勒索軟件行為
MaMoCrypt能夠刪除Windows卷影(ShadowVolume)��,并禁用防火墻以及UAC服務(wù)����。這些功能在惡意軟件領(lǐng)域中其實(shí)并不罕見(jiàn)�����,因此我們在此對其不做更深入的討論����。
它使用了Delphi的隨機生成器(基于線(xiàn)性同余生成器)以及基于時(shí)間的DWORD種子(使用QueryPerformanceCounter或GetTickCount)����,此時(shí)將會(huì )生成兩個(gè)緩沖區���,其中的數據會(huì )使用Base64進(jìn)行編碼��,并添加MZRKEYPUBLIC / MZRKEYPRIVATE字符串��。
根據上述的兩個(gè)密鑰以及一個(gè)掩碼�,該勒索軟件將會(huì )針對每個(gè)文件生成兩個(gè)加密密鑰���,隨后將會(huì )使用它們來(lái)進(jìn)行文件加密����。它首先會(huì )使用AES 128 CBC來(lái)進(jìn)行文件內容加密�,然后再使用Twofish 128 NOFB來(lái)對其進(jìn)行二次加密��。AES加密過(guò)程中剩余的16%內容將使用AES 128 CFB進(jìn)行加密���,所有加密文件的后綴名都會(huì )添加一個(gè)“.MZ173801”�。
加密完成之后�,惡意軟件會(huì )再次枚舉所有加密目錄�����,并分別存放勒索信息���,而勒索信息中也會(huì )包含對應的那兩個(gè)MZR密鑰�。
雖然MZR密鑰在密鑰生成或加密的過(guò)程中不會(huì )發(fā)生變化���,但掩碼會(huì )持續更新�����。它們的生成基于的是SHA1����、SHA512和某些自定義算法的混合計算結果���。每一個(gè)AES和Twofish密鑰還會(huì )使用SHA512進(jìn)行16次計算以及字節異或���。
掩碼和密鑰生成
*(int*)mask_in = offset; for (int i = 0; i < 0x800; ++i) { SHA1(mask_in, 0x84, mask_out); *(int*)mask_in = i + 1 + offset; *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0]; mask[i] = mask_out[1]; } offset += 0x800; aes_key = generate_key(mask, mzrkey_private.c_str(), 0x800, mzrkey_private.size()); for (int i = 0; i < 0x200; ++i) { SHA1(mask_in, 0x84, mask_out); *(int*)mask_in = i + 1 + offset; *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0]; mask[i] = mask_out[1]; } offset += 0x200; twofish_key = generate_key(mask, mzrkey_public.c_str(), 0x200, mzrkey_public.size()); generate_key: int mzrkey_size_bswap = _byteswap_ulong(mzrkey_len); int mask_size_bswap = _byteswap_ulong(mask_len); for (int i = 0; i < key_SIZE; ++i) { ((int*)in)[0] = _byteswap_ulong(i); for (int j = 0; j < i; ++j) in[j + 4] = key[j]; *((int*)(in + 4 + i)) = _byteswap_ulong(1); *((int*)(in + 8 + i)) = mask_size_bswap; memcpy(in + 3 * sizeof(int) + i, mask, mask_len); memcpy(in + 3 * sizeof(int) + mask_len + i, &mzrkey_size_bswap, 4); memcpy(in + 3 * sizeof(int) + mask_len + 4 + i, mzrkey, mzrkey_len); SHA512(in, mask_len + mzrkey_len + 4 * sizeof(int) + i, out); for (int j = 0; j < SHA512_DIGEST_LENGTH; ++j) key[i] ^= out[j]; }AES CBC的IV將使用AES 128 ECB生成�,位置在一個(gè)16字節緩沖區內��。類(lèi)似的�,Twofish NOFB的IV將使用Twofish 128 ECB生成���,位置同樣在一個(gè)16字節緩沖區內��。掩碼的初始內容生成如下:
memset(mask_in, MASK_IN_SZ, 0); memset(mask_out, MASK_OUT_SZ, 0); for (int i = 0; i < 0x80; ++i) { SHA1(mask_in, 0x84, mask_out); *(int*)mask_in = i + 1; *(mask_in + 3 + i + 1) = mask_out[0]; }實(shí)際上�����,這種加密機制我們此前從未在其他勒索軟件中見(jiàn)到過(guò)�,而且惡意代碼還會(huì )對整個(gè)文件系統進(jìn)行加密���,該勒索軟件的硬編碼文件和驅動(dòng)器列表如下:
C:\Program Files\Steam C:\Program Files (x86)\Steam [DRIVES A-Z, WITHOUT C] C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Recent\ C:\Users\%user%\Pictures C:\Users\%user%\Music C:\Users\%user%\Videos C:\Users\%user%\Documents C:\Users\Public\Documents C:\Users\Public\Videos C:\Users\Public\Music C:\Users\Public\Pictures C:\Users\%user%\Downloads C:\Users\%user%\Favorites ::{645FF040-5081-101B-9F08-00AA002F954E} (Recycle Bin) C:\Users\Administrator C:\Users\Public C:\Users\Default C:\Users\%user%\Desktop C:\Users\Public\Desktop C:\Users\%user%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu\由于掩碼/密鑰生成使用了一個(gè)偏移量來(lái)代表每一個(gè)文件的遞增��,那么解密的過(guò)程將依賴(lài)于文件的加密文件夾�����。
這款勒索軟件支持的文件加密類(lèi)型如下:
.cs;.lnk;.mp3;.jpg;.jpeg;.raw;.tif;.gif;.png;.bmp;.3dm;.max;.accdb;.db;.dbf;.mdb;.pdb;.sql;.dwg;.dxf;.c;.cpp;.cs;.h;.php;.asp;.rb;.java;.jar;.class;.py;.js;.aaf;.aep;.aepx; .plb;.prel;.prproj;.aet;.ppj;.psd;.indd;.indl;.indt;.indb;.inx;.idml;.pmd;.xqx;.xqx;.ai;.eps;.ps;.svg;.swf;.fla;.as3;.as;.txt;.doc;.dot;.docx;.docm;.dotx;.dotm;.docb;.rtf;.wpd; .wps;.msg;.pdf;.xls;.xlt;.xlm;.xlsx;.xlsm;.xltx;.xltm;.xlsb;.xla;.xlam;.xll;.xlw;.ppt;.pot;.pps;.pptx;.pptm;.potx;.potm;.ppam;.ppsx;.ppsm;.sldx;.sldm;.wav;.aif;.iff;.m3u;.m4u; .mid;.mpa;.wma;.ra;.avi;.mov;.mp4;.3gp;.mpeg;.3g2;.asf;.asx;.flv;.mpg;.wmv;.vob;.m3u8;.mkv;.dat;.csv;.efx;.sdf;.vcf;.xml;.ses;.rar;.zip;.7zip;.dtb;.bat;.apk;.vb;.sln;.csproj; .vbproj;.hpp;.asm;.lua;.ibank;.design;.aspx;.bak;.obj;.sqlite;.sqlite3;.sqlitedb;.back;.backup;.one;.pst;.url;.onetoc2;.m4a;.m4v;.ogg;.hwp;.HWP;.OGG;.M4V;.M4A;.ONETOC2; .URL;.PST;.ONE;.BACKUP;.BACK;.SQLITEDB;.SQLITE3;.SQLITE;.OBJ;.BAK;.ASPX;.DESIGN;.IBANK;.LUA;.ASM;.HPP;.VBPROJ;.CSPROJ;.SLN;.CS;.VB;.LNK;.JPG;.JPEG;.RAW;.TIF;.GIF; .PNG;.BMP;.3DM;.MAX;.ACCDB;.DB;.DBF;.MDB;.PDB;.SQL;.DWG;.DXF;.C;.CPP;.CS;.H;.PHP;.ASP;.RB;.JAVA;.JAR;.CLASS;.PY;.JS;.AAF;.AEP;.AEPX;.PLB;.PREL;.PRPROJ;.AET;.PPJ;.PSD; .INDD;.INDL;.INDT;.INDB;.INX;.IDML;.PMD;.XQX;.XQX;.AI;.EPS;.PS;.SVG;.SWF;.FLA;.AS3;.AS;.TXT;.DOC;.DOT;.DOCX;.DOCM;.DOTX;.DOTM;.DOCB;.RTF;.WPD;.WPS;.MSG;.PDF;.XLS; .XLT;.XLM;.XLSX;.XLSM;.XLTX;.XLTM;.XLSB;.XLA;.XLAM;.XLL;.XLW;.PPT;.POT;.PPS;.PPTX;.PPTM;.POTX;.POTM;.PPAM;.PPSX;.PPSM;.SLDX;.SLDM;.WAV;.MP3;.AIF;.IFF;.M3U;.M4U;.MID; .MPA;.WMA;.RA;.AVI;.MOV;.MP4;.3GP;.MPEG;.3G2;.ASF;.ASX;.FLV;.MPG;.WMV;.VOB;.M3U8;.MKV;.DAT;.CSV;.EFX;.SDF;.VCF;.XML;.SES;.RAR;.ZIP;.7ZIP;.DTB;.BAT;.APK;
加密成功之后�����,該勒索軟件將枚舉全部加密目錄�,并一一存放勒索信息����,勒索文本文件名為“How Do I Recover My Files (Readme).txt”:
如何解密
第一步:首先點(diǎn)擊【這里】下載解密工具�,并存儲在本地設備中��。
第二步:雙擊下載下來(lái)的BDMaMoDecryptTool.exe應用程序文件���,然后在彈出的UAC提示中點(diǎn)擊“Yes”:
第三步:讀取并接受終端用戶(hù)許可證協(xié)議:
第四步:考慮到這款勒索軟件家族的特殊性����,工具將會(huì )以特定的順序來(lái)掃描系統�����,而無(wú)法允許用戶(hù)指定需要解密的文件夾或文件數據�,因此我們強烈建議用戶(hù)選擇“備份文件”選項�。
第五步:點(diǎn)擊“Start Tool”按鈕��,剩下的就交給解密工具來(lái)完成吧!如果你選擇了備份選項�,那么加密文件和解密文件都將同時(shí)出現�,你還可以在%temp%\BDRemovalTool目錄中查看到解密過(guò)程的日志記錄�。
