【工具分享】LIVE2.0解密工具

本文介绍了LIVE勒索病毒家族的2.0版本,包括黑客解密器Patch的分析、密钥和IV的提取方法,以及SET-Solar-LIVE工具如何用于移除文件只读属性和解密被感染文件。提供了解密工具的下载链接以帮助受害者恢复数据。
摘要由CSDN通过智能技术生成

1.前言

本篇文章衔接上篇【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密)文章,该文对LIVE2.0版本解密工具进行分析并提供了该工具的下载地址。

2.工具分析

2.1 LIVE2.0(A程序-黑客解密器Patch)

此解密器由之前某受害用户支付赎金向黑客购买所得,在分析了该解密器的基础上,通过patch可以制作出其他受害者的解密器。

加密器程序文件结构

由此可以知道密钥在文件中的具体位置。

密钥提取

由加密器的文件结构可以知道密钥的具体位置。

文件中的位置

图片

具体的值

key = {0xBB, 0x5D, 0xDB, 0x9C, 0xF6, 0x79, 0x16, 0xF5, 0x9F, 0x9F, 0x81, 0xF4, 0x54, 0x75, 0x3E, 0x10};
IV提取

在密钥初始化阶段的encryption_Initialize函数中就可以提取到。

图片

具体的值

IV = {0x46, 0x45, 0xC3, 0xF7, 0xBF, 0x93, 0xEE, 0xA0, 0x4A, 0x0A, 0x42, 0x54, 0x65, 0xE9, 0x58, 0x5B};

2.2 LIVE2.0(权限修改程序-批量修改文件权限)

使用场景:

此脚本适用于LIVE2.0勒索软件攻击后的恢复场景,尤其是当文件被勒索软件设置为只读属性,用户需要批量去除这些属性以便进一步处理(如删除或替换)这些文件。

运行方式:

在命令行下运行,根据提示输入相应的选项,即可自动去除指定路径或盘符下所有.LIVE后缀文件的只读属性,建议输入3直接自动搜索并解除全盘的LIVE后缀文件权限。

3 工具整体使用流程

图片

请按照以下教程顺序执行

3.1 移除文件只读属性

运行 SET-Solar-LIVE修改文件权限.exe ,确保解密工具能够对被勒索文件进行读写操作。按提示输入对应数字。

3.2 运行解密程序

运行 SET-Solar-A.exe ,解密工具会自动遍历全盘被勒索文件并解密。

图片

 

工具下载地址

点击头像关注~    同名公众号回复关键字【LIVE2.0】获取下载链接

  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值