Avaddon 勒索病毒解密工具软件
早上起得比较早,五点醒了,外面在下雨,运动计划搁置。于是打开电脑浏览了下资讯,发现了有一个勒索病毒家族发布了解密工具,于是关注了下,本地实验了下。Avaddon也是2020年很流行且如今也很活跃的勒索病毒家族,国内有人中过招,我就拿我去年的样本进行测试发现可以解密,惊不惊喜意不意外?然而估计那些中招的用户应该早早就格式化了硬盘或者早早就没有遗留原数据了,毕竟当时解密赎金要价还是很高的。
Avaddon勒索病毒组织近期的一些活动:
笔者对国外的这两位牛人还是挺佩服的,Fabian Wosar@fwosar曾经在2019年发布过ProLock的勒索解密工具,也是这个专注勒索病毒研究与解密方向的牛人了。Michael Gillespie@demonslay335也是这个方向的研究人员,也发布过很多解密工具,建立了一个网站专门用来识别勒索病毒家族,在全球具有非常高的知名度,以下就是最初的资讯源头了。
https://twitter.com/fwosar/status/1403405378659012611
来到站点去下载解密工具,解密工具是用.NET编写的,没有混淆。
https://www.emsisoft.com/ransomware-decryption-tools/avaddon
这是本地测试后,被加密系统的桌面背景,已经被Avaddon勒索病毒进行了修改。
释放了勒索信readme,告诉用户需要查看。
加密完的文件命名情况,存在随机字符串后缀。
勒索信内容,提示用户如何联系黑客。
驻留在后台的勒索病毒进程,这是笔者在2020年6月30日拿到的样本,距今也一年了。
好了,开始测试解密吧。
选择同意即可:
只选择Python27文件夹进行测试,减少等待时间。
提示解密完成,之后看看实际解密效果。
解密完成,源文件与加密文件被同时保留,这个可以在解密工具中自行设置是否要保留已加密的文件。
查看readme.txt文件后,发现确实已经解密成功。
解密工具自动将笔者的系统桌面背景给缩小了:
再做一个测试,将勒索病毒进程给结束掉。主要是想看看是否是解密工具对进程进行了读取然后获得了密钥?(此时笔者还不知道是因为有匿名用户主动公开了两千多个解密密钥,才导致可以制作相应的解密工具,当我得知这一事实突然有点感慨,价值不菲的解密密钥就这么公开了?)
结束掉勒索病毒进程后再进行解密工具解密本地文件:
等到解密完成后再查看下是否可以成功解密:
回到之前测试的文件夹下:
查看readme.txt文件,发现确实还是可以解密,然后带着疑惑去搜索了相关信息,发现原来是有人公开了密钥,并不是因为解密工具发现了勒索病毒致命的缺陷而解密的。
看着这密密麻麻的两千多个解密密钥,突然一阵感慨。攻击者总共发送了2934个解密密钥,其中每个密钥对应一个特定的受害者。
在利字当头的时期,突然公开这么多密钥确实不符合常理,只能猜测要么是三种可能(也许还有其他,暂时只能想到这么多。)
1)黑客钱赚够了准备退休,突然善心大发而公开下以前的密钥。
2)黑吃黑行动,被人拿到了很大一部分密钥,为了不暴露自己而选择匿名公开。
3)黑客觉察到来自各国执法机构的危险,于是决定提前跑路,公开密钥而降低人们对该事件的关注度与影响。
发表评论