AvAddOn 勒索解密

最新推荐文章于 2022-05-21 11:50:46 发布
置顶 最新推荐文章于 2022-05-21 11:50:46 发布
阅读量917 收藏 1
点赞数
分类专栏: 逆向安全 文章标签: 安全 反病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37175419/article/details/113881823
版权

文章目录

简述:

​ 在勒索病毒进程中暴力检索密钥指针所在结构体的size、flag 等特征信息以找到疑似密钥的指针,然后取出指针指向的疑似密钥对一对加密文档和与之对应的未加密文档 进行测试。当对未加密文档进行解密,解密出数据和未加密文档匹配,那这个疑似密钥—就是勒索使用的密钥了。

原理:

​ 内存里残留了CSP 使用的 key_data_s 结构体,在该结构体中

struct key_data_s
{
    void *unknown; // XOR-ed
    uint32_t alg;
    uint32_t flags;
    uint32_t key_size;
    void* key_bytes;
};

而勒索采用的是AES256 ,那 alg = 0x00006610,keysize=0x00000020, flags= 0x1

则特征值对应:106600000100000020000000

于是乎在内存中检索匹配该串,紧接着的就是key_bytes

原作者过程:

  1. 在未被破坏的勒索现场使用ProcessExplorer 挂起勒索进程

  2. 使用procdump 获取勒索进程快照

  3. 使用python 脚本 检索快照中匹配的可能密钥
    在这里插入图片描述

  4. 使用可能的密钥对加密文件进行解密验证以获取密钥
    在这里插入图片描述

  5. 使用解密密钥来解密目标文件夹下的加密文件

模仿者:

  1. 遍历进程内存,匹配特征找密钥指针
    a 进程遍历:
    在这里插入图片描述
    b 检索特征寻找可能的key指针:
    在这里插入图片描述
    c 获取可能密钥:
    在这里插入图片描述

  2. 解密测试以获取真正密钥
    在这里插入图片描述
    在这里插入图片描述

苛刻条件

  1. 现场不能被破坏 – 勒索进程内存空间还在
  2. 有一对验证密钥的文件 – 未加密文档和与之对应的加密文档

解密工具及参考资料

该勒索分析参考:https://www.freebuf.com/articles/others-articles/249109.html

淫技思路出处: https://github.com/JavierYuste/AvaddonDecryptor

模仿 JavierYuste 的大厂:https://www.nomoreransom.org/zh/decryption-tools.html

模仿 JavierYuste 的大厂:https://www.nomoreransom.org/zh/decryption-tools.html

关键结构体参考:https://forums.codeguru.com/showthread.php?79163-Structure-of-HCRYPTKEY-Data

leibso
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
卡巴斯基实验室勒索病毒文件解密工具Rannoh Decryptor 1.9.6.1
05-13
卡巴斯基实验室勒索病毒文件解密工具Rannoh Decryptor 1.9.6.1
Avaddon勒索解密工具原理解析
鬼手的博客
02-20 1896
文章目录Avaddon勒索解密工具解密工具原理解密工具优化相关资料 Avaddon勒索勒索病毒使用C++语言进行编写,采用RSA-2048和AES-256加密算法对文件进行加密,加密库使用的是Windows自带的CryptAPI 被该勒索加密后的文件后缀为avdn 解密工具 国外安全研究人员发布了一款Avaddon勒索病毒解密工具,解密工具源代码地址: https://github.com/JavierYuste/AvaddonDecryptor 经过测试,这个工具确实是可以解密Avaddon勒索
勒索病毒免费解密
fbllfbll的博客
08-05 555
你的服务器或电脑中勒索病毒了吗?你付钱给黑客了? 针对勒索病毒Avast给出了几款解密软件,而且是免费的。 需要的可以到下面这个地址中去下载相关软件。 https://www.avast.com/ransomware-decryption-tools ...
勒索病毒
免费网络加-速-器游戏加/速/器
09-06 2万+
一、勒索病毒简介 最近,一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国,欧洲国家Windows电脑受创最重。 和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技(单地攻击电脑的软硬件)而是为了索财。当电脑受到病入侵之后・电脑当中的文作会被加密,导致无法打开。 黑客会要求你提供300美元(2000元人民币)的比特币,才会给你提供解锁的密码。支付的赎金...
勒索病毒解密工具的汇总
LiBai'S BLOG
05-21 2万+
以下为日常搜集的勒索病毒解密工具的汇总。希望对大家有用! [777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密的文件 https://success.trendmicro.com/solution/1114221 [AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密的文件 http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip [Age
Avaddon勒索解密工具原理解析1
08-03
Avaddon勒索解密工具原理解析》 Avaddon勒索病毒,一款利用C++编写的恶意软件,以其强大的加密能力对用户文件造成严重威胁。该病毒采用RSA-2048和AES-256加密算法,利用Windows自带的CryptAPI库,将文件的后缀名...
wannacry勒索解密工具
05-27
标题中的“wannacry勒索解密工具”指的是针对WannaCry勒索病毒的解密软件。WannaCry,全名WannaCryptor或WannaCrytor,是一种利用Windows操作系统漏洞进行传播的恶意软件,尤其在2017年造成了全球范围内的大规模网络...
勒索病毒解密工具
12-18
勒索病毒解密工具,国外的软件。直接可以解密勒索病毒加密后的文件。
一键解密WannaRen勒索病毒解密工具
04-07
一键解密WannaRen勒索病毒解密工具 亲测! 能解! 好用! 安装运行后,只需点击“开始扫描”即可对被WannaRen勒索病毒加密的文件进行一键全盘解密,也可以将文件直接拖入工具框进行解密,无需其它操作。
Aurora勒索病毒专用解密工具
04-07
"Aurora勒索病毒专用解密工具"就是这样一个程序,专门设计用来对抗Aurora勒索病毒。这个工具的出现往往基于安全研究人员对病毒加密机制的深入研究,他们可能发现了病毒的漏洞或者备份密钥,使得解密成为可能。 在...
svip资源分享区 html,www.svipav.top
weixin_31419153的博客
06-02 8万+
Domain Name: svipav.topRegistry Domain ID: D20191009G10001G_20780770-topRegistrar WHOIS Server: whois.namesilo.comRegistrar URL: https://www.namesilo.comUpdated Date: 2019-10-09T08:08:46ZCreation Date...
以下哪一项正则能正确的匹配网址: http://www.bilibili.com/video/av21061574 ()
x²的博客
04-16 2万+
以下哪一项正则能正确的匹配网址: http://www.bilibili.com/video/av21061574 (B) A./^(https?:\/\/)?([a-zA-Z\d]+).bilibili.com\/?video\/av(\D{1,8})\/?$/ B./^(http:\/\/)?(\w+)\.bilibili\.com\/?video\/av(\d{1,8})\/?$/ C./^(https?:\/\/)?(\w+)\.bilibili\.com\/?\w*$/ D./^(http:\/\
haoxav.com forum.php,www.bbbtav.org
weixin_35740875的博客
04-02 5万+
Domain Name: BBBTAV.ORGRegistry Domain ID: D402200000007814431-LRORRegistrar WHOIS Server: whois.godaddy.comRegistrar URL: http://www.whois.godaddy.comUpdated Date: 2019-10-01T01:30:01ZCreation Date: ...
avlang php,www.avlang12.info
weixin_29879257的博客
03-11 7万+
Domain Name: AVLANG12.INFORegistry Domain ID: D503300000025463124-LRMSRegistrar WHOIS Server: whois.godaddy.comRegistrar URL: http://www.godaddy.comUpdated Date: 2017-10-08T18:19:05ZCreation Date: 201...
不怕死就上这些网站
热门推荐
临时工 Temporary's Space
08-14 11万+
 1. hxxp:///www.dj3344.com 打开后,重启时你的主页就变成它的,并通过QQ向他人传播,现在正飙行,奇坏无比!2. hxxp:///www.qq168.net 打开后,重启时你的主页就变成它的,并通过QQ向他人传播,而且传波病毒,还狠些!现在正在飙行!3. hxxp:///www.777888.com  4. hxxp:///WWW.5dsoft.com  5. hx
va论坛php,www.xiaav.me
weixin_42552716的博客
03-10 4万+
WHOIS TERMS & CONDITIONS: Access to .ME WHOIS information is provided toassist persons in determining the contents of a domain name registrationrecord in the .ME registry database. The data in thi...
A级课程--- 从零开始(五)---ssd 2-2 解码
计算机视觉
07-14 4401
https://www.bilibili.com/video/av43996494/?p=3 0 上一节没写完的代码 从零开始(四)---ssd解码2-1 #!usr/bin/python # -*- coding: utf-8 -*- # Creation Date: 2019/7/10 import tensorflow as tf import numpy as np i...
xxx.com跳到www.xxx.com的处理(301重定向)
maorenqi101的专栏
07-17 9万+
方法就是,在根目录 下添加 .htaccess,里面添加如下代码: RewriteEngine On RewriteCond %{http_host} ^XXX.com [NC] RewriteRule ^(.*)$ http://www.XXX.com/$1 [R=301.L]
hxxp://www.hao923.com.cn/劫持浏览器
Purpleendurer@CSDN
10-08 1万+
  一位网友在国庆那天,为了在网上看阅兵式,从网上下载安装了一个软件,不料IE主页被劫持为hxxp://www.hao923.com.cn/,用超级巡警无法修复,请偶帮忙检修。  右击网友电脑桌面上的IE图标,发现弹出的是网址快捷方式的快捷菜单,看来那个软件把桌面原有的IE图标换成了指向的hxxp://www.hao923.com.cn/的快捷方式,开始菜单中的Internet Explore
Avaddon勒索解密工具原理与实战解析
本文主要解析了Avaddon勒索软件的解密工具的工作原理,并提供了相关解密工具的源代码链接。 Avaddon勒索软件是一种使用C++编写的恶意软件,它利用RSA-2048和AES-256加密算法对用户文件进行加密,加密后的文件通常带...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值