Pylocky勒索軟件的受害者可以免費解密他們的文件
我對PyLocky Ransomware的受害者有好消息和壞消息。好消息是,思科Talos集團的安全研究員Mike Bautista發佈了一個解密工具,允許他們免費解密他們的文件。
PyLocky Ransomware解密工具發佈 - 免費解鎖文件
我對PyLocky Ransomware的受害者有好消息和壞消息。好消息是,思科Talos集團的安全研究員Mike Bautista發佈了一個解密工具,允許他們免費解密他們的文件。
不好的是,文件的恢復並不簡單,因為解密器只有在受害者已經捕獲PyLocky勒索軟件和C2基礎設施之間的初始網絡流量(PCAP文件)時才能工作。
在此階段,勒索軟件向命令和控制服務器發送有關加密過程的信息,包括包含初始化向量(IV)的字符串和勒索軟件用於加密文件的隨機密碼。
“為了對抗這種勒索軟件,思科Talos正在發佈 免費的解密工具。因為我們的工具需要捕獲受感染機器的初始PyLocky命令和控制(C2)流量,所以它只能用於恢復受監控網絡流量的受感染機器上的文件。“閱讀Talos發佈的帖子。
“如果尚未捕獲初始C2流量,我們的解密工具將無法恢復受感染計算機上的文件。這是因為惡意軟件使用初始標註來發送它在加密過程中使用的C2服務器信息“
每個文件都以base64格式編碼,然後勒索軟件使用隨機生成的初始化向量(IV)和密碼來加密受感染系統上的所有文件。
PyLocky 趨勢科技於2018年7月 首次發現它,它是用Python編寫的,它與PyInstaller工具一起打包,該工具通常用於將Python程序凍結為獨立的可執行文件。
勒索軟件是通過垃圾郵件發送的,其中大部分都是針對歐洲國家,特別是法國。
PyLocky 憑藉其反機器學習能力脫穎而出,它還利用了基於開源腳本的Inno Setup Installer。
為避免分析工具(如沙箱),如果受感染系統的總可見內存小於4GB,則可疑代碼將休眠999,999秒,大約為11.5天。
加密例程使用PyCrypto庫實現,並利用3DES(三重DES)密碼。PyLocky枚舉了hot的邏輯驅動器,並生成一個文件列表,用於使用加密版本覆蓋列表中的每個文件。
在該過程結束時,勒索軟件會丟失一份可能是英語,法語,韓語或意大利語的贖金票據,這種情況暗示了威脅背後的運營商的可能目標。
該惡意軟件試圖偽裝成一個顯示贖金票據的Locky變體,聲稱是可怕的勒索軟件的變種。
專家們 在GitHub上發佈了PyLocky勒索軟件解密工具。
閱讀更多 專注黑客事件直播報 的文章
