支援乌克兰:针对 HermeticRansom 勒索病毒的免费解密工具
在2月24日,Avast 威胁实验室发现了一种新的勒索病毒,这种病毒伴随著数据清除工具 HermeticWiper 恶意软件,我们在 ESET 的同事在乌克兰发现了它们的流传。按照这种命名惯例,我们选择将我们发现的这种嵌入数据清除工具中的勒索病毒命名为 HermeticRansom。根据 Crowdstrike 智能团队所做的分析,该勒索病毒存在加密算法的弱点,可以免费解密。
如果您的设备感染了 HermeticRansom 并且希望解密您的文件,请点击这里跳转到 如何使用 Avast 解密工具来恢复文件。
开始吧!
这种勒索病毒是用 Go 语言编写的。当执行时,它会搜寻本地驱动器和网络共享以查找潜在的有价值文件,寻找以下扩展名的文件排序取自样本:
docx doc dot odt pdf xls xlsx rtf ppt pptx one xps pub vsd txt jpg jpeg bmp ico png gif sql xml pgsql zip rar exe msi vdi ova avi dip epub iso sfx inc contact url mp3 wmv wma wtv avi acl cfg chm crt css dat dll cab htm html encryptedjb
为了保持受害者的电脑运行,这种勒索病毒避免对“Program Files”和“Windows”文件夹中的文件进行加密。
对于每个指定要加密的文件,勒索病毒会创建一个32字节的加密密钥。文件是按区块加密的,每个区块的大小为10485760x100000字节。最多可加密九个区块。超过9437184字节0x900000的数据保持为明文。每个区块是使用 AES GCM 对称算法进行加密的。数据加密后,勒索病毒会附加一个文件尾,包含使用 RSA2048 加密的文件密钥。公共密钥以 Base64 编码字符串形式存储在二进制中:
加密的文件名称会附加额外的后缀:
[vote2024forjb@protonmailcom]encryptedJB
完成后,将会在用户的“桌面”文件夹中保存一个名为 “readmehtml” 的文件:
在这款勒索病毒的二进制代码中,有大量与政治相关的字符串。除了提到2024年乔拜登的连任的文件扩展名外,项目名称中也提到了他:
在执行过程中,勒索病毒会创建大量子进程来进行实际的加密工作:
如何使用 Avast 解密工具恢复文件
要解密您的文件,请依照以下步骤进行:
下载免费的 Avast 解密工具。直接运行可执行文件。它会以向导的形式启动,带您配置解密过程。在初始页面,您可以查看许可信息,如果需要,但实际上只需单击“下一步”即可。在下一页,选择想要搜索和解密的位址列表。默认情况下,它会显示所有本地驱动器的列表:在最后的向导页面,您可以选择是否要备份加密文件。这些备份在解密过程中出现任何问题时非常有帮助。此选项默认开启,建议您保留。单击“解密”后,解密过程开始。让解密工具运行并等待其完成。火烧云加速器appIOC
SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382
标签为 分析, 解密工具, 恶意软件, 勒索病毒, 反向工程
分享:XFacebook