• 安全分析与研究:专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链
  • 安全分析与研究:关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息

Bitdefender 发布Ouroboros衔尾蛇勒索病毒解密工具

勒索病毒 pandazhengzheng 5个月前 (10-30) 578次浏览 0个评论 扫描二维码

Bitdefender近期发布了Ouroboros衔尾蛇勒索病毒解密工具,可以解密加密后缀名为:.Lazarus和.Lazarus +,加密后缀名为Kronos的Ouroboros勒索病毒暂时无法解密,还在研究当中

如何判断您是否感染了这种特定的衔尾蛇变种

在受感染的计算机上,大多数文件都被加密并重命名为原始文件名,再加上[ID = XXXXXXXXXX] [Mail = *] .Lazarus或[ID = XXXXXXXXXX] [Mail = *] .Lazarus +字符串。ID由10个随机字符组成。此外,Ouroboros还将创建几个名为Read-Me-Now.txt的赎金票据

Lazarus +的勒索提示信息

 

如果您感染了此Lazarus变种,则可以立即下载解密工具

https://labs.bitdefender.com/wp-content/uploads/downloads/ouroboros-ransomware-decryptor/

 

技术简介

根据汇编aesenc / aesenclast指令,使用AES 256 CBC算法对受影响的文件进行加密。这样可以防止恶意软件在缺少对这些指令的支持的较旧的CPU型号(2010之前)上运行。

用于加密的初始化向量是硬编码的,而不是生成的,并且它随每个版本而变化

Lazarus的初始化向量:

Lazarus+ 的初始化向量:

该密钥是使用以下两个字母组合的两个PRNG(伪随机数生成器),Mersenne Twister和IsaacRandom构造的:

生成密钥后,勒索软件会尝试与服务器联系以发送密钥以及用户信息。如果没有响应,则该密钥将被丢弃,并替换为硬编码的密钥:

 

如何解密您的数据

第1步:下载下面的解密工具,并将其保存在计算机上的某个位置。

https://labs.bitdefender.com/wp-content/uploads/downloads/ouroboros-ransomware-decryptor/

此工具不需要活动的Internet连接。

步骤2:  双击BDOuroborosDecryptTool.exe,并使其在UAC提示符下提升运行。

步骤3:  接受最终用户许可协议

步骤4:  如果要搜索所有加密文件,请选择“扫描整个系统”。或者,只需将路径添加到包含加密文件的文件夹中即可。强烈建议您在开始解密之前也选择“备份文件”,如果在此过程中发生任何意外情况。单击“扫描”按钮开始解密。

在此步骤结束时,您的文件应被解密。该工具在%temp%\ BDRansomDecryptor \ BDRansomDecryptor \ BitdefenderLog.txt位置生成操作日志。

如果需要帮助,请通过工具中列出的反馈地址与我们联系。谨请您附上上述日志文件,以帮助您隔离潜在问题并缩短响应时间。

 

跨网络自动部署

该工具也可以通过命令行执行。如果需要在大型网络中自动部署该工具,则可能需要使用此功能。

  • -help  –提供有关如何以静默方式运行该工具的信息(此信息写入日志文件,而不是控制台输出)
  • start  –此参数允许工具以静默方式运行(无GUI)
  • – path  –此参数指定要扫描的路径
  • – test – 该参数指定一对原始/加密文件的测试路径
  • o0:1  –启用“  扫描整个系统” 选项(忽略  -path  参数)
  • o1:1  –启用  备份文件 选项
  • o2:1  –启用  覆盖现有文件 选项

命令行示例:

BDOuroborosDecryptor.exe开始-path:“ C:\”  ->该工具开始时没有GUI并扫描  C:\

BDOuroborosDecryptor.exe启动o0:1-  >该工具在没有GUI的情况下启动并扫描整个系统

BDOuroborosDecryptor.exe开始o0:1 o1:1 o2:1-  >该工具扫描整个系统,备份加密的文件并覆盖当前的干净文件

 

致谢

该产品包括由OpenSSL Project开发的软件,用于OpenSSL Toolkit。

 

参考链接:https://labs.bitdefender.com/2019/10/ouroboros-ransomware-decryption-tool/

 

欢迎关注微信公众号:安全分析与研究,专注于全球 恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,及时提供全球最新的威胁情报信息

 

如果对恶意样本研究技术感兴趣,可以加入知识星球:安全分析与研究,加入星球的朋友可以加入《安全分析与研究》微信专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

安全的路很长,贵在坚持……

 


安全分析与研究, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Bitdefender 发布Ouroboros衔尾蛇勒索病毒解密工具
喜欢 (3)

您必须 登录 才能发表评论!