رمزگشایی فایل‌های قربانی LockCrypt

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

رمزگشایی فایل‌های قربانی LockCrypt

q780

فایل‌های رمز شده توسط باج‌افزار LockCrypt قابل رمزگشایی هستند.

باج‌افزار LockCrypt که با عنوان EncryptServer۲۰۱۸ نیز شناخته می‌شود، حملات خود را از اواسط سال ۲۰۱۷ آغاز کرده‌است و تا امروز فعال است.

باج‌افزار LockCrypt در ماه آوریل به‌طور کامل توسط Malwarebytes Labs تحلیل شد که درنهایت رمزگذاری استفاده‌شده در این باج‌افزار را ساده و قابل شکستن اعلام کردند. با این حال، پژوهشگران Malwarebytes هیچ ابزار رمزگشایی را برای این بدافزار منتشر نکردند.

اخیرا پژوهشگران PaloAlto Networks روش رمزگشایی این باج‌افزار را کشف و منتشر کرده‌اند. باید اشاره شود که نسخه جدیدی از این بدافزار با رمزگذاری بهتر مشاهده شده‌است که پژوهشگران PaloAlto Networks این نسخه را تحلیل نکرده‌اند.

نحوه استخراج کلید رمزگذاری بدین‌صورت است که باید حداقل ۲۵KB از یک فایل رمزگذاری نشده موجود باشد. با توجه به اینکه LockCrypt تمامی فایل‌ها از قبیل فایل‌های DLL برنامه‌ها را رمزگذاری می‌کند با نصب همان برنامه در یک رایانه دیگر و استفاده از فایل‌های رمزگذاری نشده می‌توان فایل‌های رمز شده را بازیابی کرد.

فرایند بازیابی کلید رمزگذاری به‌صورت زیر است:

1. یک نسخه رمزگذاری نشده از فایلی که توسط باج‌افزار رمز شده‌است را با حجم حداقل ۲۵۰۱۰ بایت بازیابی کنید.

2. توصیه می‌شود این کار را با نصب یک نرم‌افزار مشابه در یک رایانه دیگر و انتخاب یک فایل DLL با حجم مدنظر انجام دهید.

3. پایتون ۲,۷ را نصب کنید.

4. از اسکریپت _stream_key.py استفاده کنید تا کلید جریان برای یک idx مشخص را بازیابی کند. درصورتی‌که فایل با حجم بالا به‌کار گرفته‌می‌شود، توصیه این است که از idx=۲۵۰۰۰ استفاده شود.

5. SageMath را نصب کنید.

6. SageMath Jupyter Notebook را باز کنید و با استفاده از کد درج شده در گزارش PaloAlto، آن را اجرا کنید تا کلید رمزگذاری اصلی بازیابی شود. این بخش ممکن است ۲۰ دقیقه تا چند ساعت طول بکشد.

7. از اسکریپت decryptor.py برای رمزگشایی فایل‌ها استفاده کنید. اسکریپت‌ها در گیت‌هاب Unit ۴۲ در دسترس هستند.

مرجع : مرکز مدیریت راهبردی افتا