本文介绍了LIVE勒索病毒家族的2.0版本,包括黑客解密器Patch的分析、密钥和IV的提取方法,以及SET-Solar-LIVE工具如何用于移除文件只读属性和解密被感染文件。提供了解密工具的下载链接以帮助受害者恢复数据。
1.前言
本篇文章衔接上篇【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密)文章,该文对LIVE2.0版本解密工具进行分析并提供了该工具的下载地址。
2.工具分析
2.1 LIVE2.0(A程序-黑客解密器Patch)
此解密器由之前某受害用户支付赎金向黑客购买所得,在分析了该解密器的基础上,通过patch可以制作出其他受害者的解密器。
加密器程序文件结构
由此可以知道密钥在文件中的具体位置。
密钥提取
由加密器的文件结构可以知道密钥的具体位置。
文件中的位置
具体的值
key = {0xBB, 0x5D, 0xDB, 0x9C, 0xF6, 0x79, 0x16, 0xF5, 0x9F, 0x9F, 0x81, 0xF4, 0x54, 0x75, 0x3E, 0x10};
IV提取
在密钥初始化阶段的encryption_Initialize函数中就可以提取到。
具体的值
IV = {0x46, 0x45, 0xC3, 0xF7, 0xBF, 0x93, 0xEE, 0xA0, 0x4A, 0x0A, 0x42, 0x54, 0x65, 0xE9, 0x58, 0x5B};
2.2 LIVE2.0(权限修改程序-批量修改文件权限)
使用场景:
此脚本适用于LIVE2.0勒索软件攻击后的恢复场景,尤其是当文件被勒索软件设置为只读属性,用户需要批量去除这些属性以便进一步处理(如删除或替换)这些文件。
运行方式:
在命令行下运行,根据提示输入相应的选项,即可自动去除指定路径或盘符下所有.LIVE后缀文件的只读属性,建议输入3直接自动搜索并解除全盘的LIVE后缀文件权限。
3 工具整体使用流程
请按照以下教程顺序执行
3.1 移除文件只读属性
运行 SET-Solar-LIVE修改文件权限.exe ,确保解密工具能够对被勒索文件进行读写操作。按提示输入对应数字。
3.2 运行解密程序
运行 SET-Solar-A.exe ,解密工具会自动遍历全盘被勒索文件并解密。
工具下载地址
点击头像关注~ 同名公众号回复关键字【LIVE2.0】获取下载链接
582
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
