本文讲的是解密被 Findzip 勒索软件感染的文件,
专门针对OS X的勒索软件Findzip(亦称Filecoder)是在2017年2月22日被发现的。近日,国外安全专家发现Findzip是通过BitTorrent网站传播的,MalwareBytes研究人员Thomas Reed发现,那些受到Findzip 感染的MacOS用户,即使支付了赎金也不会得到黑客提供的密钥。
因为专家们发现被Findzip加密的文件具有不可逆性,所以如果MacOS用户被Findzip感染了,就只有干着急了。
不过事情并不是绝对的,经过嘶吼编辑组的不懈努力,我们还是发现了一些能够解密Findzip加密文件的方法。
不过在恢复文件之前,你需要先做好一些准备工作:
1.重新使用一台Mac 2.使用0Xcode开发环境或TextWrangler文本编辑器 3.执行Xcode命令行工具 4.下载pkcrack源代码 5.复制一份已经被Findzip加密的文件
首先,你需要重新使用一台Mac,这就像在受感染的Mac上新建一个用户帐户。
如果你需要在Windows或Linux计算机上进行解密操作,你就需要弄清楚如何在非系统Mac系统上编译和使用pkcrack工具。
第二,你需要使用苹果的Xcode开发环境或一个方便操作的文本编辑器。 从理论上讲,Xcode开发环境是最理想的解密操作环境,但由于Xcode的下载文件太大,大多数人可能不会使用这个操作环境,所以除非你非要下载Xcode,否则我们还是你建议下载TextWrangler。TextWrangler是许多的Mac使用者最常用的文字编辑器之一,TextWrangler既是一个方便的文本编辑器,也是非常轻巧的代码开发工具,内置了包括HTML/XHTML, XML, PHP, JavaScript, Perl, Python, Ruby, Lua, Java, ANSI C, C++, Objective-C等几十种语言的语法。
第三,你需要安装Xcode命令行工具,不过你不需要实际安装Xcode。如果你没有Xcode的副本,请打开终端应用程序,它位于应用程序文件夹中的实用程序文件夹中。
在终端中,输入以下命令,
接下来,你就会看到以下显示窗口:
单击安装按钮→安装命令行工具→同意安装→然后等待下载和安装过程完成。
第四,你需要下载pkcrack源代码。有些人可能对下载pkcrack源代码有点反感,不过我们已经尝试过了,这些下载的源代码非常好用。
第五,你还需要在新的Mac上,拷贝过来一份已经被加密的文件在未加密时的备份。不过要确保文档不是太大, 1000字节左右将是最理想的大小。
这些条件都准备好以后,你可以从你的用户文件夹中的某个地方运行这个被感染的文件,然后提取Info.plist文件里一部分(不用担心,这个文件是不危险的。)解压缩这个提取文件,你会发现一个名为Info.plist.part的文件,你以后会用到。
然后,你需要从加密系统上的恶意应用程序中提取加密的Info.plist.crypt文件。按住Control键并点击恶意应用程序,然后从显示的上下文菜单中选择显示包内容。在打开的窗口中,将有一个内容文件夹。里面是一个名为Info.plist.crypt的文件,抓取该文件的副本。
编译pkcrack
为了使用pkcrack,你需要对加密文件执行所谓的“已知明文攻击”,这时你将利用之前下载的pkcrack源代码编译它,不过你应该将pkcrack源代码解压缩为:
src目录中的文件就是你要找的文件。
不过,这个代码不会在macOS上编译。幸运的是,我们可以通过一些非常简单的更改来实现这个编译,就是对这些文件进行修复。利用Xcode或TextWrangler来编辑其中的几个文件。
首先,打开名为Makefile的文件。在文件顶部附近将有一行显示:
将6更改为2,如下所示:
然后保存并关闭文件。
接下来,您需要打开exfunc.c文件。找到顶部附近的行:
删除此行,然后保存并关闭文件。
现在,重复此过程,直到删除完全相同的行:
一旦完成这些,你就可以准备好编译代码了。幸运的是,这很容易操作。再次打开终端应用程序,并输入以下内容,但不要按回车:
此时,你要注意在“cd”之后还有一个空格,所以一定要保留那个空格。
接下来,将src文件夹从pkcrack-1.2.2文件夹拖动到终端窗口,然后在src文件夹的路径中插入命令。现在切换回到终端并按返回。这样终端中的当前工作目录就被更改为src文件夹。
最后,输入以下命令:
然后开始编译代码,
没有必要担心窗口中的警告。如果你现在在src文件夹中看到以下文件,则代表编码成功:
这些是Unix可执行文件,也称为“二进制文件”。为了方便使用,将这些文件移动到单独的文件夹中,比如你可以把它们放进一个“bin”文件夹,如下所示:
现在,我们将使用前面提到的Info.plist.crypt和Info.plist.part文件。将这些文件移动到bin文件夹。
接下来,回到终端,再次使用“cd”命令切换到bin目录。然后,输入以下命令:
这将产生一个名为Info.plist的文件,但其内容仍然加密。
当然,如果你不使用这个Info.plist文件,请用正在处理的文件的正确名称替换这些名称。如果正在处理的文件名中包含空格,则需要用引号把这些空格括起来中。例如:
现在您可以开始搜索秘钥了。输入以下命令:
同样,请务必在包含空格的任何文件名中把这些空格括起来。
pkcrack应用程序将开始处理加密文件。根据文件的大小,处理时间可能会有不同,但对于我们样本中的Info.plist文件,以及在我们测试时所用的高端MacBook Pro上,花了一分钟。
不过它中间发生了两次嘟嘟声,终端显示如下:
这是因为pkcrack试图找到加密文件的密码。
你可以利用这个方法,解密Info.plist.crypt文件,以及由Mac上的特定恶意软件加密的任何其他文件。输入以下命令:
在输入此命令后,我们将创建一个新的,未加密的Info.plist.zip文件。双击此文件将它解压缩。解压的文件将包含一系列嵌套的文件夹,你可以通过这些文件找到的整个文件路径,直到到达原始的,还未加密的文件。
不过事后补救终归比不上事前防范,嘶吼编辑组建议大家还是加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我们网站上关于勒索软件的有关资讯。
原文发布时间为:2017年3月12日
本文作者:xiaohui
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。