简介
Avaddon讹诈病毒被笔者称为2020年全球十大盛行讹诈病毒之一,其初次呈现于2020年6月在俄罗斯某公开黑客论坛开端出卖,该讹诈病毒运用C++言语停止编写,采用RSA-2048和AES-256加密算法对文件停止加密,该讹诈病毒的传播方式多种多样,前期主要经过渣滓邮件附件JS/PowerShell歹意脚本等无文件技术停止传播,免杀效果十分好,开展到后面经过Phorpiex僵尸网络停止传播,同时还发现该讹诈病毒经过渣滓邮件附带Excel4.0宏歹意代码停止传播。
该讹诈病毒最新变种加密后的文件,如下所示:
讹诈提示信息文件内容,如下所示:
经过avaddonbotrxmuyl.onion翻开讹诈解密网站,如下所示:
输入用户ID数据,如下所示:
解密工具
国外平安研讨人员发布了一款Avaddon讹诈病毒解密工具,解密工具源代码地址:
https://github.com/JavierYuste/AvaddonDecryptor,笔者下载了此讹诈病毒的解密工具,经过Avaddon讹诈病毒的病毒样本停止测试,发现的确能够解密Avaddon讹诈病毒,解密步骤:
1.以管理员身份翻开ProcExp工具,找到Avaddon讹诈病毒进程,然后挂起进程,并记下该进程的PID,如下所示:
2.以管理员身份翻开cmd,运用procdump工具,转储Avaddon讹诈病毒进程内存数据,如下所示:
3.以管理员身份翻开cmd,运转如下解密命令,调用解密脚本main.py,如下所示:
4.解密完成之后,如下所示:
解密原理
笔者深化研讨这款讹诈病毒解密工具的源码,其原理就是经过暴力破解的方式,从内存中暴力搜索解密的Key,然后经过搜索到的Key解密文件,细致过程如下:
1.暴力搜索匹配DUMP文件中的key数据,如下所示:
2.经过搜索到的key解密文件,然后与原文件停止比照,假如匹配胜利,则阐明找到理解密的key,如下所示:
3.然后经过上面找到的key解密文件,如下所示:
4.解密整个系统文件的函数如下所示:
5.去除最后的24个字节+512个字节的特征数据,如下所示:
6.应用解密key,调用Decrypt.exe解密文件程序解密文件,如下所示:
这款讹诈病毒的解密方式与此前LooCipher讹诈病毒的解密工具运用的解密方式根本一样,都是经过暴力搜索DUMP文件中可能的key,然后再运用AES算法解密文件。
感谢您的来访,获取更多精彩文章请收藏本站。
1 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
3 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。