遇到勒索病毒怎辦?那套軟件才有機會解密?找Hacker?用數據恢復軟體有用嗎?
這篇文章將會仔細全面講解加密病毒可能性解法.
如果遇到勒索病毒
第一步先斷掉實體網路線以防止擴散.
第二步最好作法是先讓電腦進入睡眠,或是執行WinDBG Dump 以上是取得所有記憶體DUMP.
如果無法順利使用軟體做記憶體DUMP
只剩下使用 Cold Boot或是DMA攻擊記憶體DUMP法 Link
盡量取得記憶體DUMP後才可關機,若沒有完整記憶體DUMP,想要解密現行勒索病毒非常困難.以下解密軟體某些需要有原記憶體完整下執行處理.
整顆硬碟要做全鏡像備份.
最後再用另外的OS掛載這備份硬碟 做密鑰搜索與嘗試解密
有些勒索病毒可用解密軟體直接解開而無需記憶體Dump,那是因為本機硬碟還保有密鑰
下面為原理說明
1.
像Satan病毒CryptoAPI進行加密,對稱加密的算法是RC,密鑰結構如下:
[HardWareID]+k_str1+k_str2+k_str3+[PUBLIC]
k_str1, k_str2, k_str3都是硬編在程式當中的固定密鑰:
k_str1 = “dfsa#@FGDS!dsaKJiewiu*#&*))__=22121kD()@#(*#@#@!DSKL909*(!#!@AA” k_str2 = “*@#AdJJMLDML#SXAIO98390d&th2nfd%%u2j312&&dsjdAa” k_str3 = “@!FS#@DSKkop()(290#0^^^2920-((__!#*$gf4SAddAA”
Public的大小是0x20,病毒每次加密一個文件時候會生成一個,HardWareID和PUBLIC都會生成在加密檔案的末尾
2.本機如果沒有保留密鑰的話, 就必須透過記憶體分析來取得密鑰
像WannaCry 是用2048 bit RSA key ,RSA key基本原理是 以二個超大質數 相乘
此質數一但破取得 RSA密鑰 就可解密檔案
wcry.exe進程 。Windows API CryptDestroyKey和CryptReleaseContext在釋放之前不會從記憶體中刪除質數。就可取得RSA密鑰.
這是因為Windows Crypto API 在Windows XP ,7 ,2003 ,Vista CryptReleaseContext不清理RSA 質數。
而在Windows 10下,CryptReleaseContext會清理記憶體(因此無法用這種方法取得RSA密鑰質數)。
以上解密軟體都沒有用時,使用Raw data recovery軟體如Photorec
另外在資料庫跟VM部分若下面軟體都無法解密 ,可尋求OSSLab幫助
真實案例 勒索的資料庫解密
本文 參考自 https://www.nomoreransom.org/zht_Hant/partners.html
OSSLab不定時更新.
All Ransom :
趨勢萬用型解密工具
| Ransomware | File name and extension |
|---|---|
| CryptXXX V1, V2, V3* | {original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters |
| CryptXXX V4, V5 | {MD5 Hash}.5 hexadecimal characters |
| TeslaCrypt V1** | {original file name}.ECC |
| TeslaCrypt V2** | {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ |
| TeslaCrypt V3 | {original file name}.XXX or TTT or MP3 or MICRO |
| TeslaCrypt V4 | File name and extension are unchanged |
| SNSLocker | {Original file name}.RSNSLocked |
| AutoLocky | {Original file name}.locky |
| BadBlock | {Original file name} |
| 777 | {Original file name}.777 |
| XORIST | {Original file name}.xorist or random extension |
| XORBAT | {Original file name}.crypted |
| CERBER V1 | {10 random characters}.cerber |
| Stampado | {Original file name}.locked |
| Nemucod | {Original file name}.crypted |
| Chimera | {Original file name}.crypt |
| LECHIFFRE | {Original file name}.LeChiffre |
| MirCop | Lock.{Original file name} |
| Jigsaw | {Original file name}.random extension |
| Globe/Purge | V1: {Original file name}.purge V2: {Original file name}.{email address + random characters} V3: Extension not fixed or file name encrypted |
| DXXD | V1: {Original file name}.{Original extension}dxxd |
| Teamxrat/Xpan | V2: {Original filename}.__xratteamLucked |
| Crysis | .{id}.{email address}.xtbl, .{id}.{email address}.crypt, .{id}.{email addres}.dharma, .{id}.{email address}.wallet |
| TeleCrypt | {Original file name} |
| DemoTool | .demoadc |
| WannaCry (WCRY) |
Wannacry 必須在Win 8 之前 ,電腦內還有RSA 密鑰 特定條件下才可解密
下載 以下部分軟體已經其實還是用這套 只是做筆記上比較好分類
777 Ransom
AES_NI Ransom
下載
工具由 Kaspersky Lab 製作
Rakhni解鎖工具是設計來解鎖由AES_NI勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Avast 製作
AES_NI解鎖工具是設計來解鎖由AES_NI勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
Agent.iih Ransom
Alcatraz Ransom
Alpha Ransom
Amnesia Ransom
Amnesia2 Ransom
Annabelle Ransom
Aura Ransom
AutoIt Ransom
下載
工具由 Kaspersky Lab 製作
Rakhni解鎖工具是設計來解鎖由AutoIt勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Kaspersky Lab 製作
Rannoh解鎖工具是設計來解鎖由AutoIt勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
AutoLocky Ransom
BTCWare Ransom
BadBlock Ransom
BarRax Ransom
Bart Ransom
下載
工具由 Avast 製作
Bart解鎖工具是設計來解鎖由Bart勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Bitdefender 製作
Bart解鎖工具是設計來解鎖由Bart勒索軟體所加密的檔案。
Bitcryptor Ransom
CERBER V1 Ransom
Chimera Ransom
下載
工具由 Kaspersky Lab 製作
Rakhni解鎖工具是設計來解鎖由Chimera勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由Chimera勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
Coinvault Ransom
Cry128 Ransom
Cry9 Ransom
CrySIS Ransom
下載
工具由 Kaspersky Lab 製作
Rakhni解鎖工具是設計來解鎖由CrySIS勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由CrySIS勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
Cryakl Ransom
Crybola Ransom
Crypt888 Ransom
CryptON Ransom
CryptXXX V1 Ransom
下載
工具由 Kaspersky Lab 製作
Rannoh解鎖工具是設計來解鎖由CryptXXX V1勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由CryptXXX V1勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
CryptXXX V2 Ransom
下載
工具由 Kaspersky Lab 製作
Rannoh解鎖工具是設計來解鎖由CryptXXX V2勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由CryptXXX V2勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
CryptXXX V3 Ransom
下載
工具由 Kaspersky Lab 製作
Rannoh解鎖工具是設計來解鎖由CryptXXX V3勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由CryptXXX V3勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
CryptXXX V4 Ransom
CryptXXX V5 Ransom
CryptoMix Ransom
下載
工具由 CERT-PL 製作
CryptoMix解鎖工具是設計來解鎖由CryptoMix勒索軟體所加密的檔案。
下載
工具由 Avast 製作
CryptoMix解鎖工具是設計來解鎖由CryptoMix勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
Cryptokluchen Ransom
DXXD Ransom
Damage Ransom
Democry Ransom
Derialock Ransom
Dharma Ransom
EncrypTile Ransom
FenixLocker Ransom
Fury Ransom
GandCrab Ransom
Globe Ransom
Globe/Purge Ransom
Globe2 Ransom
Globe3 Ransom
GlobeImposter Ransom
Gomasom Ransom
HiddenTear Ransom
Jaff Ransom
Jigsaw Ransom
下載
工具由 Check Point 製作
Jigsaw解鎖工具是設計來解鎖由Jigsaw勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由Jigsaw勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
LECHIFFRE Ransom
LambdaLocker Ransom
Lamer Ransom
Linux.Encoder.1 Ransom
Linux.Encoder.3 Ransom
Lortok Ransom
MacRansom Ransom
下載
工具由 Trend Micro 製作
MacRansom解鎖工具是設計來解鎖由MacRansom勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
MacRansom decryption only supports the following:
Microsoft Office documents (.docx, .xlsx, .pptx)
– Pages documents (.pages)
– Numbers documents (.numbers)
– Keynote documents (.key)
Marlboro Ransom
Marsjoke aka Polyglot Ransom
Merry X-Mas Ransom
下載
工具由 Emsisoft 製作
Merry X-Mas解鎖工具是設計來解鎖由Merry X-Mas勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Check Point 製作
Merry X-Mas解鎖工具是設計來解鎖由Merry X-Mas勒索軟體所加密的檔案。
MirCop Ransom
Mole Ransom
下載
工具由 CERT-PL 製作
Mole解鎖工具是設計來解鎖由Mole勒索軟體所加密的檔案。
Nemucod Ransom
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由Nemucod勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Emsisoft 製作
Nemucod 解鎖工具是設計來解鎖由Nemucod勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
NemucodAES Ransom
Nmoreira Ransom
Noobcrypt Ransom
Ozozalocker Ransom
PHP ransomware Ransom
Philadelphia Ransom
Pletor Ransom
Popcorn Ransom
下載
工具由 Elevenpaths 製作
Popcorn解鎖工具是設計來解鎖由Popcorn勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
This zip file is encrypted with password: ”elevenpaths”.
Rakhni Ransom
Rannoh Ransom
Rotor Ransom
SNSLocker Ransom
Shade Ransom
下載
工具由 Kaspersky Lab 製作
Shade解鎖工具是設計來解鎖由Shade勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
Decrypt files with the following extensions: .xtbl, .ytbl, .breaking_bad, .heisenberg.
下載
工具由 Intel Security 製作
Shade解鎖工具是設計來解鎖由Shade勒索軟體所加密的檔案。
Decrypt files with the following extensions: .xtbl, .ytbl, .breaking_bad, .heisenberg.
Stampado Ransom
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由Stampado勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Emsisoft 製作
Stampado解鎖工具是設計來解鎖由Stampado勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
Teamxrat/Xpan Ransom
TeslaCrypt V1 Ransom
TeslaCrypt V2 Ransom
TeslaCrypt V3 Ransom
下載
工具由 Kaspersky Lab 製作
Rakhni解鎖工具是設計來解鎖由TeslaCrypt V3勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Intel Security 製作
TeslaCrypt v3 and v4解鎖工具是設計來解鎖由TeslaCrypt V3勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由TeslaCrypt V3勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
TeslaCrypt V4 Ransom
下載
工具由 Kaspersky Lab 製作
Rakhni解鎖工具是設計來解鎖由TeslaCrypt V4勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Intel Security 製作
TeslaCrypt v3 and v4解鎖工具是設計來解鎖由TeslaCrypt V4勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由TeslaCrypt V4勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
Wildfire Ransom
下載
工具由 Kaspersky Lab 製作
Wildfire解鎖工具是設計來解鎖由Wildfire勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Intel Security 製作
Wildfire解鎖工具是設計來解鎖由Wildfire勒索軟體所加密的檔案。
XData Ransom
XORBAT Ransom
XORIST Ransom
下載
工具由 Trend Micro 製作
Trend Micro Ransomware解鎖工具是設計來解鎖由XORIST勒索軟體所加密的檔案。
更多資訊請詳閱以下內容 使用指南.
下載
工具由 Emsisoft 製作
ZQ Ransom
下載
工具由 Emsisoft 製作
