1.前言
本篇文章衔接上篇【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)文章,该文对LIVE1.0版本解密工具进行分析并提供了该工具的下载地址。
2.工具分析
2.1 LIVE1.0(A程序-黑客解密器Patch)
此解密器由之前某受害用户支付赎金向黑客购买所得,在分析了该解密器的基础上,通过patch可以制作出其他受害者的解密器。
加密器程序文件结构
由此可以知道密钥在文件中的具体位置
密钥提取
由加密器的文件结构可以知道密钥的具体位置
文件中的位置
具体的值
key = {0xBB, 0x5D, 0xDB, 0x9C, 0xF6, 0x79, 0x16, 0xF5, 0x9F, 0x9F, 0x81, 0xF4, 0x54, 0x75, 0x3E, 0x10};
IV提取
在密钥初始化阶段的encryption_Initialize函数中就可以提取到
具体的值
IV = {0x46, 0x45, 0xC3, 0xF7, 0xBF, 0x93, 0xEE, 0xA0, 0x4A, 0x0A, 0x42, 0x54, 0x65, 0xE9, 0x58, 0x5B};
2.2 LIVE1.0(B程序-补充补丁程序)
-
用户选择操作模式:程序提供三种操作模式供用户选择:
-
单一文件解密。
-
整个文件夹解密。
-
递归搜索指定路径下所有文件并尝试解密。
-
-
文件解密逻辑:核心功能是通过
decrypt_data
函数实现,该函数接收一个被加密文件的数据,并尝试将其解密。解密过程涉及对文件数据的逐字节操作,使用了特定的加密盒(encryption_sbox
)、加密密钥(encryption_key
)、初始化向量(encryption_iv
)以及一个加密特征尾(characteristic
)用于识别和处理文件尾部。 -
文件处理:
-
encrypt_file
函数接收一个文件路径,读取文件内容,并调用decrypt_data
进行解密,然后将解密后的数据写回到新的文件中,去除.LIVE
后缀。 -
list_files_in_directory
函数用于处理一个目录下的所有文件,对于每个.LIVE
后缀的文件调用encrypt_file
函数尝试解密。 -
对于递归模式,脚本遍历用户指定路径下的所有文件夹和文件,对找到的每个
.LIVE
后缀的文件尝试解密。
-
-
解密判断逻辑:脚本首先检查文件是否以特定的加密特征结尾,然后根据文件扩展名决定使用全文件解密还是部分解密。对于识别的文件类型,脚本尝试完整解密;对于未知或不支持的文件类型,只解密文件的前8KB数据。
-
结果处理:解密后,脚本基于文件类型检测(使用
filetype.guess
函数)判断解密是否成功。如果成功,根据文件内容是否符合预期的文件类型来选择是否需要重新命名文件,并可能生成未加密的版本作为备份。 -
用户交互:脚本末尾接收用户输入,根据输入执行相应的解密操作。
2.3 LIVE1.0(权限修改程序-批量修改文件权限)
使用场景:
此脚本适用于LIVE1.0勒索软件攻击后的恢复场景,尤其是当文件被勒索软件设置为只读属性,用户需要批量去除这些属性以便进一步处理(如删除或替换)这些文件。
运行方式:
在命令行下运行,根据提示输入相应的选项,即可自动去除指定路径或盘符下所有.LIVE
后缀文件的只读属性,建议输入3直接自动搜索并解除全盘的LIVE后缀文件权限。
3 工具整体使用流程
请按照以下教程顺序执行
3.1 移除文件只读属性
运行 SET-Solar-LIVE修改文件权限.exe ,确保解密工具能够对被勒索文件进行读写操作。按提示输入对应数字。
3.2 运行解密程序
运行 SET-Solar-A【005ZZ】.exe ,解密工具会自动遍历全盘被勒索文件并解密。
3.3 运行保险修复程序
由于LIVE勒索病毒功能上的残缺,导致会存在加密后损坏文件的情况,无法通过解密程序进行修复。因此解密后仍无法打开的文件就需要使用 SET-Solar-B【005ZZ】.exe,可输入数字指定文件或路径进行修复。
工具下载地址
点击图片关注下方账号进入公众号
回复关键字【LIVE1.0】获取下载链接