Pylocky勒索软件的受害者可以免费解密他们的文件
我对PyLocky Ransomware的受害者有好消息和坏消息。好消息是,思科Talos集团的安全研究员Mike Bautista发布了一个解密工具,允许他们免费解密他们的文件。
PyLocky Ransomware解密工具发布 - 免费解锁文件
我对PyLocky Ransomware的受害者有好消息和坏消息。好消息是,思科Talos集团的安全研究员Mike Bautista发布了一个解密工具,允许他们免费解密他们的文件。
不好的是,文件的恢复并不简单,因为解密器只有在受害者已经捕获PyLocky勒索软件和C2基础设施之间的初始网络流量(PCAP文件)时才能工作。
在此阶段,勒索软件向命令和控制服务器发送有关加密过程的信息,包括包含初始化向量(IV)的字符串和勒索软件用于加密文件的随机密码。
“为了对抗这种勒索软件,思科Talos正在发布 免费的解密工具。因为我们的工具需要捕获受感染机器的初始PyLocky命令和控制(C2)流量,所以它只能用于恢复受监控网络流量的受感染机器上的文件。“阅读Talos发布的帖子。
“如果尚未捕获初始C2流量,我们的解密工具将无法恢复受感染计算机上的文件。这是因为恶意软件使用初始标注来发送它在加密过程中使用的C2服务器信息“
每个文件都以base64格式编码,然后勒索软件使用随机生成的初始化向量(IV)和密码来加密受感染系统上的所有文件。
PyLocky 趋势科技于2018年7月 首次发现它,它是用Python编写的,它与PyInstaller工具一起打包,该工具通常用于将Python程序冻结为独立的可执行文件。
勒索软件是通过垃圾邮件发送的,其中大部分都是针对欧洲国家,特别是法国。
PyLocky 凭借其反机器学习能力脱颖而出,它还利用了基于开源脚本的Inno Setup Installer。
为避免分析工具(如沙箱),如果受感染系统的总可见内存小于4GB,则可疑代码将休眠999,999秒,大约为11.5天。
加密例程使用PyCrypto库实现,并利用3DES(三重DES)密码。PyLocky枚举了hot的逻辑驱动器,并生成一个文件列表,用于使用加密版本覆盖列表中的每个文件。
在该过程结束时,勒索软件会丢失一份可能是英语,法语,韩语或意大利语的赎金票据,这种情况暗示了威胁背后的运营商的可能目标。
该恶意软件试图伪装成一个显示赎金票据的Locky变体,声称是可怕的勒索软件的变种。
专家们 在GitHub上发布了PyLocky勒索软件解密工具。
閱讀更多 專注黑客事件直播報 的文章
