被勒索病毒加密的文件如何破解?

最新推荐文章于 2025-03-17 20:02:45 发布
最新推荐文章于 2025-03-17 20:02:45 发布
阅读量1.4w 收藏 13
点赞数 1
分类专栏: 数字证书 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011893782/article/details/106559456
版权

想要硬刚勒索病毒,脱密加密的文件,是很难的。之前,我已经介绍了数字签名,勒索病毒使用了公钥加密另一个常用应用“数字信封”技术。

想要恢复勒索病毒加密的文件,可以破解黑客的公钥,或者破解黑客加密文件的临时对称密钥。而这2种算法,黑客都选用了目前可靠的算法,不可能被破解。

为什么不能被破解?这2种算法保障着全球信息系统的安全性,如果能通过破解加密算法恢复文件,现代的信息防护技术也就都失效了。因此,如果必须恢复文件,目前的办法就是支付赎金给黑客,然后加固系统。

数字信封

不严谨的描述一下:

1.随机选取对称密钥

2.用对称加密明文得到密文

3.用公钥加密对称密钥,得到加密的对称密钥。

4.将密文和加密后的对称密钥保存在一个文件中。

最后的数字信封中全部是密文,先要解密数字信封,必须要有公钥对应的私钥,先从数字信封中解密对称密钥,在解密密文。

上面只是最简单的数字信封原理,我们可以进一步了PKCS#7解数字信封的格式,参考文献3。

数 字 信 封 格 式 (不带签名)

版本号

0

接收者信息

版本号

证书序列号

对密钥的加密算法标识

加密的报文密钥

加密内容信息

数据类型

数据加密算法标识

加密的内容

数 字 信 封 格 式 (带签名)

版本号

0

接收者信息

版本号

证书序列号

对密钥的加密算法标识

加密的报文密钥

信息摘要算法

算法标识

加密内容信息

数据类型

数据加密算法标识

加密的内容(使用报文密钥加密)

证书

签名者证书和签发者证书(可选)

签名者信息

版本号(1)

签名者证书序列号

签名时间

签名算法

加密的签名值(使用报文密钥加密)

其它属性

勒索病毒

先看一下分析资料,

加密过程

1, 病毒运行时会随机生成RSA Session公私钥对,私钥命名为:计算机-#-加密时间.key。

此文件会被随机生成的AES-256 key对称加密,保存在计算机-#-加密时间.key.~xdata~ 文件的头部。

2, 病毒作者用事先准备好的RSA公钥,把随机生成的AES-256 key加密后,保存在 *.key.~xdata~文件的尾部。

3, 普通文件,用随机生成的AES-256 key进行加密后存在文件头部。(大于100M的文件,只加密前15M,小于等于100M,大于等于10M的,加密前10M,小于10M的文件,加密filesize & 0xFFFFFFF0的 全文)

4, 用RSA Session public key加密随机生成的AES-256 key,并保存在加密文件的尾部。

解密过程

5, 病毒作者手中的RSA private key可以用来解密*.key.~xdata~ 的文件尾,获取到文件加密的AES-256 key。

6, 用上一步解密出来的AES-256 key 解密*.key.~xdata~,可以获取完整的RSA Session private key。

7, 用RSA Session private key解密用户电脑上所有的*.~xdata~ 文件尾部,获取每个文件的AES-256 key。

8, 用上一步获取到的AES-256 key解密每个 被加密文件。

解密的重点在于黑客手上的RSA private key!黑客在解密时,是不能提供自己的私钥的,*.key.~xdata~文件中就是一个加密对称密钥,黑客只需要解密这个文件还原AESkey,这里和数字信封原理是一样的。

黑客还用了一些技巧,每个文件都采用不同的对称密钥,和临时RSA Session private key ,这里是数字信封的原理用了2遍,做了一次嵌套。

个人感觉RSA Session private key,没有给加密系统增加安全性。如果我来做,用主AES key加密每个文件的AES key。这个观点大家是否支持?

参考文献:

1.XData勒索病毒加密方式剖析及解密工具 https://www.freebuf.com/sectool/136540.html

2. WannaCry勒索病毒,是这么一回事 https://www.guokr.com/article/442167

3. PKCS1签名&PKCS7签名&PKCS7信封格式 http://blog.sina.com.cn/s/blog_6a17ac950102w1ka.html

勒索病毒服务器文件加密后缀,WannaCry勒索病毒文件加密密码结构
weixin_39620037的博客
08-11 981
引言勒索病毒Wannacry爆发已经过去一周了,由于该病毒采用加密用户文件方式进行勒索,许多朋友对该病毒文件加解密过程比较感兴趣。在已见到的病毒分析报告[1-4]中对文件加解密过程描述的比较零散。为便于全面理解病毒使用的密码技术,本文综合多家的分析报告,从密码技术角度勾勒出该病毒文件加解密基本框架。包括加密策略、密钥结构、密钥生成与保护等,为有兴趣者提供该病毒使用密码技术的画像。文章最后指出了病毒...
拯救被勒索病毒加密文件
清风弄影
05-10 2010
使用工具解密被勒索软件(REvil/Sodinokibi)加密文件,需要告知文件中的key
勒索病毒解密工具
12-18
勒索病毒解密工具,国外的软件。直接可以解密被勒索病毒加密后的文件
卡巴斯基实验室勒索病毒文件解密工具Rannoh Decryptor 1.9.6.1
05-13
卡巴斯基实验室勒索病毒文件解密工具Rannoh Decryptor 1.9.6.1
应急响应-勒索病毒
最新发布
qq_53058639的博客
03-17 727
一种新型电脑病毒,主要以的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出"双重勒索"的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常是暗网)公开售卖企业的商业数据。
应急响应:勒索病毒-实战 案例一.【Windows 系统-排查和解密】
网络安全领域___专研者.
08-17 2872
勒索病毒是一种恶意软件,它通过加密用户的数据或锁定用户设备,然后要求用户支付赎金以解锁数据或系统勒索病毒的入侵方式多样,包括网络共享文件、捆绑传播、垃圾邮件、水坑攻击、软件供应链传播、暴力破解、利用已知漏洞攻击和利用高危端口攻击等。
WannaRen勒索加密文件解密
信息安全
05-13 1188
文章目录前言Wannaren解密解密关键代码 前言 要说火爆全网的勒索,莫过于17年的WannaCry了,当时影响广泛,给用户造成了巨大损失。就在前段时间,蹭WannaCry热度的WannaRen勒索也小火了一把,然而来也匆匆,去也匆匆。 下图为展示勒索信的解密程序 样本为白加黑组合,类似windword加wwlib.dll的白加黑组合在2019年海莲花组织上使用过 本篇博客主要讲的是被Wannaren勒索文件解密,其他的信息就不多赘述 Wannaren解密 Wannaren主要是靠RSA和RC4组合进
中了勒索病毒该怎么办?可以解密吗?
10-20 1476
还记得之前跟大家推荐一篇勒索病毒的科普文吗?勒索病毒席卷全球,给全球各大小政企业都带来了巨大的损失,勒索病毒重点在于防,可是黑客无孔不入,再强大的系统都有可能存在漏洞,万...
勒索病毒解密工具.zip
05-11
新型勒索病毒解密文件,后缀.adobe 的测试 解密了几个,有些个别也没解密成功,你可以试试。
勒索病毒检测工具 sql数据库中勒索病毒检测完整度 数据库被勒索病毒加密检测完整度
03-16
为了让客户更加了解SQL数据库被勒索病毒加密后的损坏比列,我们开发了此款工具,支持MDF NDF 文件和 非压缩BAK备份文件的损坏率检测。 对于 丢失占比在0-50%的 一般都可以恢复,大于50%的 也有几率恢复。恢复是门...
被TeslaCrypt 3勒索病毒加密后档案的解密工具
06-12
标题 "被TeslaCrypt 3勒索病毒加密后档案的解密工具" 提及的是一个专门针对TeslaCrypt 3病毒感染的解密解决方案。TeslaCrypt 3是一种臭名昭著的恶意软件,属于勒索病毒类别,它会加密用户的个人文件,然后要求受害者...
GDCB勒索病毒解密软件
03-06
GDCB勒索病毒解密软件,包括说明教程,解密.GDCB格式的文件
勒索病毒:解密工具(总汇)
weixin_52834323的博客
11-10 3701
Trustezeb勒索软件解密工具]https://download.eset.com/com/eset/tools/decryptors/trustezeb_a/latest/esettrustezebadecoder.exe。勒索软件解密工具集:很多安全公司都提供了免费的勒索病毒解密工具下载,收集和整理相关下载地址,可以帮助我们了解和获取最新的勒索病毒解密工具。[CryptXXX V1/2/3/4/5勒索软件解密工具][TeslaCrypt V1/2/3/4勒索软件解密工具]
勒索软件漏洞?在不支付赎金的情况下解密文件
2401_83799022的博客
04-11 1812
于是,笔者就尝试搜索了一下近期活跃的勒索软件,发现了一篇名为《研究人员利用漏洞解密HomuWitch勒索软件》的报告,报告称研究人员发现了一个HomuWitch勒索软件漏洞,该漏洞能够为所有HomuWitch受害者创建免费解密工具,而HomuWitch勒索软件最早出现时间为2023年7月。基于此,笔者推测,此款HomuWitch勒索软件的勒索逻辑为:当被害者支付赎金后,攻击者向其反馈解密密钥,然后被害者在HomuWitch勒索软件中填写解密密钥实现勒索解密。纯纯的为了吸引眼球。
勒索病毒解密工具的汇总
热门推荐
LiBai'S BLOG
05-21 2万+
以下为日常搜集的勒索病毒解密工具的汇总。希望对大家有用! [777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密文件 https://success.trendmicro.com/solution/1114221 [AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密文件 http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip [Age
一文揭秘wxr勒索病毒解密,看完再也不怕中招!
qq_29905353的博客
02-25 1108
而且,在文件加密完成后,病毒还会在桌面或文件夹中留下一个勒索信息,通常是以文本文件的形式,嚣张地通知受害者,要求支付赎金,并且会详细说明支付的方式和金额,一般来说,赎金要求往往是通过比特币等匿名支付方式进行支付,以方便攻击者隐藏身份。钓鱼邮件也是其常用的传播手段之一,攻击者会精心伪装成各种看似正规的邮件,包含病毒链接或附件,诱导用户点击或下载,一旦用户上钩,病毒就会迅速感染设备。首先,重要的个人数据,如照片、文档、视频等,这些承载着回忆、工作成果和个人隐私的文件一旦被加密,可能会造成无法挽回的损失。
最全勒索病毒解密工具
06-12 1万+
勒索病毒是近年来呈爆发趋势的一种计算机病毒,也一直是安全团队的重点“关爱”对象。 本文汇总了众多解密工具信息,有需要者可自取! 01 勒索软件解密工具 [Apocalypse勒索软件解密工具] https://www.pcrisk.com/removal-guides/10111-apocalypse-ransomware [Alcatrazlocker勒索软件解密工具] https://files.avast.com/files/decryptor/avast_decryptor_alcatr
数据库中了勒索病毒怎么办?(数据库恢复的终极大招DUL)
xiaofan23z的专栏
04-09 2206
数据库如何预防勒索病毒 接上文,如果数据库中了勒索病毒,并且备份也同样被攻陷,那该怎么办?以最为常见的Lockbit3.0为例,LockBit采用先进的加密算法,通常是对称密钥加密和非对称密钥加密的组合。这使得被感染的系统中的文件无法被正常访问,想破解几乎是不可能的。只能支付赎金来获取解密工具来解密!如果你的数据库被勒索病毒加密,又不想缴纳昂贵的赎金?如何最大限度的恢复数据呢?这里就会使用到oracle数据恢复的最终大招了DUL(Data Unloader)!DUL是Data Unloader的缩写,Or
勒索预警,一大波新型勒索病毒与解密工具
pandazhengzheng的博客
03-12 3585
勒索预警,一大波新型勒索病毒与解密工具
勒索病毒加密解密代码
01-15
### 关于勒索病毒加密解密算法实现代码分析 #### 混合加密机制概述 勒索软件常采用混合加密方案,即结合对称加密和非对称加密的优点。具体来说,在实际操作过程中,这类恶意程序会先利用高效的对称加密算法(如AES)快速处理大量数据文件;之后再借助安全性更高的非对称加密体制(比如RSA),专门用来保护前一步骤产生的临时秘钥[^1]。 #### AES 对称加密示例 下面给出一段基于Python语言编写的简单AES加密函数: ```python from Crypto.Cipher import AES import base64 def pad(text): while len(text) % 16 != 0: text += b' ' return text key = 'thisisaverysecret' cipher = AES.new(key, AES.MODE_ECB) plaintext = "example data" padded_plaintext = pad(plaintext.encode()) encrypted_text = cipher.encrypt(padded_plaintext) print(base64.b64encode(encrypted_text)) ``` 此段代码展示了如何使用PyCrypto库中的`AES`类来进行基本的字符串加密工作。需要注意的是,这里仅作为教学用途展示,并未考虑任何安全措施或异常情况处理[^2]。 #### RSA 非对称加密示例 对于RSA部分,则可以参考如下简单的公私钥生成以及消息签名验证过程: ```python from Crypto.PublicKey import RSA from Crypto.Signature.pkcs1_v1_5 import PKCS1_v1_5 as Signature_pkcs1_v1_5 from Crypto.Hash import SHA256 import base64 random_generator = Random.new().read rsa = RSA.generate(1024, random_generator) private_pem = rsa.exportKey() with open('private.pem', 'wb') as f: f.write(private_pem) public_pem = rsa.publickey().exportKey() with open('public.pem', 'wb') as f: f.write(public_pem) message = 'hello world'.encode('utf-8') hash_obj = SHA256.new(message) signer = Signature_pkcs1_v1_5(rsa) signature = signer.sign(hash_obj) base64_sign = base64.b64encode(signature).decode() verifier = Signature_pkcs1_v1_5(RSA.import_key(open('public.pem').read())) if verifier.verify(SHA256.new(message), signature): print("The signature is authentic.") else: print("The signature is not authentic.") ``` 上述例子说明了怎样创建一对可用于身份认证目的的RSA密钥对,并完成了一次完整的电子签名流程。同样地,这只是一个基础框架,真实环境中还需要加入更多防护手段以增强系统的健壮性和可靠性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王森 出发

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值