解密被 Findzip 勒索软件感染的文件

本文讲的是解密被 Findzip 勒索软件感染的文件

专门针对OS X的勒索软件Findzip(亦称Filecoder)是在2017年2月22日被发现的。近日,国外安全专家发现Findzip是通过BitTorrent网站传播的,MalwareBytes研究人员Thomas Reed发现,那些受到Findzip 感染的MacOS用户,即使支付了赎金也不会得到黑客提供的密钥。

因为专家们发现被Findzip加密的文件具有不可逆性,所以如果MacOS用户被Findzip感染了,就只有干着急了。

不过事情并不是绝对的,经过嘶吼编辑组的不懈努力,我们还是发现了一些能够解密Findzip加密文件的方法。

不过在恢复文件之前,你需要先做好一些准备工作:

1.重新使用一台Mac
2.使用0Xcode开发环境或TextWrangler文本编辑器
3.执行Xcode命令行工具
4.下载pkcrack源代码
5.复制一份已经被Findzip加密的文件

首先,你需要重新使用一台Mac,这就像在受感染的Mac上新建一个用户帐户。

如果你需要在Windows或Linux计算机上进行解密操作,你就需要弄清楚如何在非系统Mac系统上编译和使用pkcrack工具。

第二,你需要使用苹果的Xcode开发环境或一个方便操作的文本编辑器。 从理论上讲,Xcode开发环境是最理想的解密操作环境,但由于Xcode的下载文件太大,大多数人可能不会使用这个操作环境,所以除非你非要下载Xcode,否则我们还是你建议下载TextWrangler。TextWrangler是许多的Mac使用者最常用的文字编辑器之一,TextWrangler既是一个方便的文本编辑器,也是非常轻巧的代码开发工具,内置了包括HTML/XHTML, XML, PHP, JavaScript, Perl, Python, Ruby, Lua, Java, ANSI C, C++, Objective-C等几十种语言的语法。

第三,你需要安装Xcode命令行工具,不过你不需要实际安装Xcode。如果你没有Xcode的副本,请打开终端应用程序,它位于应用程序文件夹中的实用程序文件夹中。

在终端中,输入以下命令,

接下来,你就会看到以下显示窗口:

单击安装按钮→安装命令行工具→同意安装→然后等待下载和安装过程完成。

第四,你需要下载pkcrack源代码。有些人可能对下载pkcrack源代码有点反感,不过我们已经尝试过了,这些下载的源代码非常好用。

第五,你还需要在新的Mac上,拷贝过来一份已经被加密的文件在未加密时的备份。不过要确保文档不是太大, 1000字节左右将是最理想的大小。

这些条件都准备好以后,你可以从你的用户文件夹中的某个地方运行这个被感染的文件,然后提取Info.plist文件里一部分(不用担心,这个文件是不危险的。)解压缩这个提取文件,你会发现一个名为Info.plist.part的文件,你以后会用到。

然后,你需要从加密系统上的恶意应用程序中提取加密的Info.plist.crypt文件。按住Control键并点击恶意应用程序,然后从显示的上下文菜单中选择显示包内容。在打开的窗口中,将有一个内容文件夹。里面是一个名为Info.plist.crypt的文件,抓取该文件的副本。

编译pkcrack

为了使用pkcrack,你需要对加密文件执行所谓的“已知明文攻击”,这时你将利用之前下载的pkcrack源代码编译它,不过你应该将pkcrack源代码解压缩为:

src目录中的文件就是你要找的文件。

不过,这个代码不会在macOS上编译。幸运的是,我们可以通过一些非常简单的更改来实现这个编译,就是对这些文件进行修复。利用Xcode或TextWrangler来编辑其中的几个文件。

首先,打开名为Makefile的文件。在文件顶部附近将有一行显示:

将6更改为2,如下所示:

然后保存并关闭文件。

接下来,您需要打开exfunc.c文件。找到顶部附近的行:

删除此行,然后保存并关闭文件。

现在,重复此过程,直到删除完全相同的行:

一旦完成这些,你就可以准备好编译代码了。幸运的是,这很容易操作。再次打开终端应用程序,并输入以下内容,但不要按回车:

此时,你要注意在“cd”之后还有一个空格,所以一定要保留那个空格。

接下来,将src文件夹从pkcrack-1.2.2文件夹拖动到终端窗口,然后在src文件夹的路径中插入命令。现在切换回到终端并按返回。这样终端中的当前工作目录就被更改为src文件夹。

最后,输入以下命令:

然后开始编译代码,

没有必要担心窗口中的警告。如果你现在在src文件夹中看到以下文件,则代表编码成功:

这些是Unix可执行文件,也称为“二进制文件”。为了方便使用,将这些文件移动到单独的文件夹中,比如你可以把它们放进一个“bin”文件夹,如下所示:

现在,我们将使用前面提到的Info.plist.crypt和Info.plist.part文件。将这些文件移动到bin文件夹。

接下来,回到终端,再次使用“cd”命令切换到bin目录。然后,输入以下命令:

这将产生一个名为Info.plist的文件,但其内容仍然加密。

当然,如果你不使用这个Info.plist文件,请用正在处理的文件的正确名称替换这些名称。如果正在处理的文件名中包含空格,则需要用引号把这些空格括起来中。例如:

现在您可以开始搜索秘钥了。输入以下命令:

同样,请务必在包含空格的任何文件名中把这些空格括起来。

pkcrack应用程序将开始处理加密文件。根据文件的大小,处理时间可能会有不同,但对于我们样本中的Info.plist文件,以及在我们测试时所用的高端MacBook Pro上,花了一分钟。

不过它中间发生了两次嘟嘟声,终端显示如下:

这是因为pkcrack试图找到加密文件的密码。

你可以利用这个方法,解密Info.plist.crypt文件,以及由Mac上的特定恶意软件加密的任何其他文件。输入以下命令:

在输入此命令后,我们将创建一个新的,未加密的Info.plist.zip文件。双击此文件将它解压缩。解压的文件将包含一系列嵌套的文件夹,你可以通过这些文件找到的整个文件路径,直到到达原始的,还未加密的文件。

不过事后补救终归比不上事前防范,嘶吼编辑组建议大家还是加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我们网站上关于勒索软件的有关资讯。

原文发布时间为:2017年3月12日

本文作者:xiaohui 

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-11-27 20:45:56

解密被 Findzip 勒索软件感染的文件的相关文章

勒索软件致重要文件化为乌有?不重视备份将后悔莫及!

北京时间5月12日晚,新型"蠕虫式"勒索软件"永恒之蓝"在全球爆发,攻击各国的政府和公共网络系统,众多学校.医院受到严重侵害.我国不少高校的教育网络成为了黑客勒索软件的入侵重灾区,不仅教学系统陷入了大面积瘫痪,许多实验室数据和毕业论文设计也已经被锁,受害者只有支付数万元的高额赎金,才有可能拿回被恶意加密的文件.面对肆虐的勒索软件,保障公共机构的文件安全,企业云盘或许是个不错的选择. 云查杀安全分享 有效抵御勒索软件恶意入侵 由于云盘存储产品的便捷性,不少用户都将文件

面对最新勒索软件只能乖乖交钱?亚信安全“解毒”最新DXXD勒索软件

近日,亚信安全成功截获了最新版本的DXXD勒索软件,该勒索软件将对用户计算机中的文档进行恶意加密并影响操作系统.据软件开发者称,此次推出的新版本破解难度高,中毒的用户只能乖乖缴纳赎金.DXXD勒索软件的"能力"虽然犀利,不过,亚信安全针对DXXD勒索软件迅速发布了最新版解密工具,可以解密被DXXD勒索软件加密的文件,让用户的操作系统和文件安全恢复正常. 新版本DXXD勒索软件与之前发布的版本相比,能够直接修改Windows操作系统注册表设置,用户只要登陆计算机,就会最先看到勒索信息.并

勒索软件的威胁远未消失

"英雄拯救世界"?在近两天全球性的勒索软件网络攻击事件中,传出了一名英国网络工程师通过注册某个域名而遏制这场灾难的消息.但网络安全专家指出,目前事态只是由于多种原因而稍显缓和,许多网络用户特别是中国用户仍面临风险关口 网络攻击级别"史无前例" 12日,全球多个国家的网络遭遇名为"想哭"的勒索软件攻击,据统计,涉及中国.英国.西班牙.俄罗斯等近百个国家和地区.电脑被勒索软件感染后文件会被加密锁定,支付黑客所要赎金后才能解密恢复,受攻击对象甚至包括医

新勒索软件DynA-Crypt不仅要加密你的文件,而且窃取并删除它们

本文讲的是新勒索软件DynA-Crypt不仅要加密你的文件,而且窃取并删除它们, 一个名为DynA-Crypt的新勒索软件被GData公司的恶意软件分析师Karsten Hahn发现,DynA-Crypt不仅能加密你的数据,而且试图从受害者的计算机窃取大量信息.虽然勒索软件和信息窃取感染已经变得越来越普遍,但当你把两者结合到DynA-Crypt中,那攻击的威力似乎变得非常大了. 问题是,这个勒索软件是由许多独立的可执行文件和PowerShell脚本组成,这些组合不但能它加密你的文件,还能窃取你的

思科发布针对勒索软件TeslaCrypt的解密工具

这是一个真实的案例:就在上个月,小编的朋友,一位银行高管不慎点开了一封邮件的附件,真真切切的遭遇了原本以为只有在FreeBuf上看到的"新鲜玩意"--勒索软件.如同本文的主角TeslaCrypt一样,他的电脑被彻底加密,只有依照软件提示交付赎金才能恢复,这让我的朋友欲哭无泪-- Cisco(思科)公司在对勒索软件TeslaCrypt经过长期的分析后,近日发布了一款解密工具,这款工具能够解密被TeslaCrypt勒索而加密的文件. 百科:勒索木马 勒索软件是一种近年来愈发流行的木马,这些

新型勒索软件出现:需要玩家获得高分才解密

4月10日消息 勒索软件在网上大行其道,成为了每一个人尤其是企业用户头疼的事情.不过以前的软件都是要求受害人支付相应的赎金才能解密,而现在有一款勒索软件竟然要玩家玩游戏来获得高分. 安全小组Malware Hunter Team昨天注意到,受这款勒索软件感染用户会看到警告,即"您的宝贵数据,如文件,音乐,图片和某种类型的项目文件"已经被高度强加密算法加密. 而解密方法不是常规的付钱保平安,而是在PC游戏TH12,LUNATIC级别上获得2亿得分.当然普通人的话几乎很难达到上述要求. 好

勒索软件用解密密钥鼓励受害者传播勒索软件

名叫 Popcorn Time 的新开发的勒索软件向受害者提供了一种不同寻常的获得免费解密密钥的方法:帮助传播勒索软件.当电脑感染Popcorn Time 之后,受害者有两种选择:支付1比特币--价值超过700美元,或者向其他人发送恶意链接,感染至少两名新受害者.此外,如果用户输错了4次解密密钥,勒索软件将会开始删除文件. 该勒索软件与流视频播放 Popcorn Time 无关,只是借用了名字.它的恶意链接主要是通过Tor网络传播,没有安装Tor的用户不会被感染.该勒索软件仍然在开发之中,目前还

解密勒索软件 遭到疯狂报复 Enjey勒索软件在攻击 cloudflare防护在等待

勒索软件Enjey对ID Ransomware在线服务实施了DDoS攻击, 因为 ID Ransomware索引了勒索软件作者刚发布的软件,而且居然还发现了方法,解密他的勒索软件. ID Ransomware服务宕机了4个小时 勒索软件Enjey在Twitter上声明对此次攻击负责,随后在跟媒体的沟通中提供了一段攻击ID Ransomware的代码.随后他发动了第二次DDoS攻击,证明那确实是他.但这个时候已经引起了ID Ransomware的注意,并且到现场应对第二次攻击.在这次攻击期间,服务

一大波勒索软件变种来袭 将加密用户文件勒索赎金

近日,亚信安全收到大量勒索软件新变种的感染报告.与以往的变种类似,此次发现的勒索软件会将自身伪装成邮件附件进行传播.病毒附件一旦被运行,用户计算机上的文件会被加密导致无法打开,同时还会对网络中可访问的网络共享文件进行加密. 目前,亚信安全最新病毒码已经可以防范此类病毒,建议用户尽快升级.此外,用户还需提高安全意识,不要轻易打开来源不明的邮件.企业则应部署周密的网络安全解决方案,通过侦测恶意文件和垃圾邮件并封锁相关网址等技术,在各层面防御勒索软件带来的威胁. [勒索软件在用户桌面显示的勒索信息]