解密被 Findzip 勒索软件感染的文件 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

解密被 Findzip 勒索软件感染的文件

xiaohui web安全 2017-03-12 10:27:41
2954122
收藏

导语:近日,国外安全专家发现Findzip是通过BitTorrent网站传播的,MalwareBytes研究人员Thomas Reed发现,那些受到Findzip 感染的MacOS用户,即使支付了赎金也不会得到黑客提供的密钥。

1488954516940633.jpg

专门针对OS X的勒索软件Findzip(亦称Filecoder)是在2017年2月22日被发现的。近日,国外安全专家发现Findzip是通过BitTorrent网站传播的,MalwareBytes研究人员Thomas Reed发现,那些受到Findzip 感染的MacOS用户,即使支付了赎金也不会得到黑客提供的密钥。

因为专家们发现被Findzip加密的文件具有不可逆性,所以如果MacOS用户被Findzip感染了,就只有干着急了。

不过事情并不是绝对的,经过嘶吼编辑组的不懈努力,我们还是发现了一些能够解密Findzip加密文件的方法。

不过在恢复文件之前,你需要先做好一些准备工作:

1.重新使用一台Mac
2.使用0Xcode开发环境或TextWrangler文本编辑器
3.执行Xcode命令行工具
4.下载pkcrack源代码
5.复制一份已经被Findzip加密的文件

首先,你需要重新使用一台Mac,这就像在受感染的Mac上新建一个用户帐户。

如果你需要在Windows或Linux计算机上进行解密操作,你就需要弄清楚如何在非系统Mac系统上编译和使用pkcrack工具。

第二,你需要使用苹果的Xcode开发环境或一个方便操作的文本编辑器。 从理论上讲,Xcode开发环境是最理想的解密操作环境,但由于Xcode的下载文件太大,大多数人可能不会使用这个操作环境,所以除非你非要下载Xcode,否则我们还是你建议下载TextWrangler。TextWrangler是许多的Mac使用者最常用的文字编辑器之一,TextWrangler既是一个方便的文本编辑器,也是非常轻巧的代码开发工具,内置了包括HTML/XHTML, XML, PHP, JavaScript, Perl, Python, Ruby, Lua, Java, ANSI C, C++, Objective-C等几十种语言的语法。

第三,你需要安装Xcode命令行工具,不过你不需要实际安装Xcode。如果你没有Xcode的副本,请打开终端应用程序,它位于应用程序文件夹中的实用程序文件夹中。

在终端中,输入以下命令,

1.png

接下来,你就会看到以下显示窗口:

2.png

单击安装按钮→安装命令行工具→同意安装→然后等待下载和安装过程完成。

第四,你需要下载pkcrack源代码。有些人可能对下载pkcrack源代码有点反感,不过我们已经尝试过了,这些下载的源代码非常好用。

第五,你还需要在新的Mac上,拷贝过来一份已经被加密的文件在未加密时的备份。不过要确保文档不是太大, 1000字节左右将是最理想的大小。

这些条件都准备好以后,你可以从你的用户文件夹中的某个地方运行这个被感染的文件,然后提取Info.plist文件里一部分(不用担心,这个文件是不危险的。)解压缩这个提取文件,你会发现一个名为Info.plist.part的文件,你以后会用到。

然后,你需要从加密系统上的恶意应用程序中提取加密的Info.plist.crypt文件。按住Control键并点击恶意应用程序,然后从显示的上下文菜单中选择显示包内容。在打开的窗口中,将有一个内容文件夹。里面是一个名为Info.plist.crypt的文件,抓取该文件的副本。

3.png

编译pkcrack

为了使用pkcrack,你需要对加密文件执行所谓的“已知明文攻击”,这时你将利用之前下载的pkcrack源代码编译它,不过你应该将pkcrack源代码解压缩为:

4.png

src目录中的文件就是你要找的文件。

不过,这个代码不会在macOS上编译。幸运的是,我们可以通过一些非常简单的更改来实现这个编译,就是对这些文件进行修复。利用Xcode或TextWrangler来编辑其中的几个文件。

首先,打开名为Makefile的文件。在文件顶部附近将有一行显示:

5.png

将6更改为2,如下所示:

6.png

然后保存并关闭文件。

接下来,您需要打开exfunc.c文件。找到顶部附近的行:

7.png

删除此行,然后保存并关闭文件。

现在,重复此过程,直到删除完全相同的行:

8.png

一旦完成这些,你就可以准备好编译代码了。幸运的是,这很容易操作。再次打开终端应用程序,并输入以下内容,但不要按回车:

9.png

此时,你要注意在“cd”之后还有一个空格,所以一定要保留那个空格。

接下来,将src文件夹从pkcrack-1.2.2文件夹拖动到终端窗口,然后在src文件夹的路径中插入命令。现在切换回到终端并按返回。这样终端中的当前工作目录就被更改为src文件夹。

最后,输入以下命令:

10.png

然后开始编译代码,

11.png

没有必要担心窗口中的警告。如果你现在在src文件夹中看到以下文件,则代表编码成功:

12.png

这些是Unix可执行文件,也称为“二进制文件”。为了方便使用,将这些文件移动到单独的文件夹中,比如你可以把它们放进一个“bin”文件夹,如下所示:

13.png

现在,我们将使用前面提到的Info.plist.crypt和Info.plist.part文件。将这些文件移动到bin文件夹。

接下来,回到终端,再次使用“cd”命令切换到bin目录。然后,输入以下命令:

14.png

这将产生一个名为Info.plist的文件,但其内容仍然加密。

当然,如果你不使用这个Info.plist文件,请用正在处理的文件的正确名称替换这些名称。如果正在处理的文件名中包含空格,则需要用引号把这些空格括起来中。例如:

15.png

现在您可以开始搜索秘钥了。输入以下命令:

16.png

同样,请务必在包含空格的任何文件名中把这些空格括起来。

pkcrack应用程序将开始处理加密文件。根据文件的大小,处理时间可能会有不同,但对于我们样本中的Info.plist文件,以及在我们测试时所用的高端MacBook Pro上,花了一分钟。

不过它中间发生了两次嘟嘟声,终端显示如下:

17.png

这是因为pkcrack试图找到加密文件的密码。

你可以利用这个方法,解密Info.plist.crypt文件,以及由Mac上的特定恶意软件加密的任何其他文件。输入以下命令:

18.png

在输入此命令后,我们将创建一个新的,未加密的Info.plist.zip文件。双击此文件将它解压缩。解压的文件将包含一系列嵌套的文件夹,你可以通过这些文件找到的整个文件路径,直到到达原始的,还未加密的文件。

不过事后补救终归比不上事前防范,嘶吼编辑组建议大家还是加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我们网站上关于勒索软件的有关资讯。

1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务