日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

寫在前面的話

成都創(chuàng)新互聯(lián)是一家專注于成都做網站、網站設計與策劃設計,新田網站建設哪家好?成都創(chuàng)新互聯(lián)做網站,專注于網站建設10年,網設計領域的專業(yè)建站公司;建站業(yè)務涵蓋:新田等地區(qū)。新田做網站價格咨詢:13518219792

MaMoCrypt是一款臭名昭著的勒索軟件，該勒索軟件從去年的十二月份開始活躍，深受其害的用戶可以算是不計其數了。那么在這篇文章中，我們將告訴大家如何恢復、解密被MaMoCrypt勒索軟件加密的數據。

MaMoCrypt是一款非常與眾不同的勒索軟件，這款勒索軟件采用Delphi開發(fā)，并且使用了mpress進行封裝，是MZRevenge的一個變種版本。

勒索軟件行為

• MaMoCrypt能夠刪除Windows卷影(ShadowVolume)，并禁用防火墻以及UAC服務。這些功能在惡意軟件領域中其實并不罕見，因此我們在此對其不做更深入的討論。
• 它使用了Delphi的隨機生成器(基于線性同余生成器)以及基于時間的DWORD種子(使用QueryPerformanceCounter或GetTickCount)，此時將會生成兩個緩沖區(qū)，其中的數據會使用Base64進行編碼，并添加MZRKEYPUBLIC / MZRKEYPRIVATE字符串。
• 根據上述的兩個密鑰以及一個掩碼，該勒索軟件將會針對每個文件生成兩個加密密鑰，隨后將會使用它們來進行文件加密。它首先會使用AES 128 CBC來進行文件內容加密，然后再使用Twofish 128 NOFB來對其進行二次加密。AES加密過程中剩余的16%內容將使用AES 128 CFB進行加密，所有加密文件的后綴名都會添加一個“.MZ173801”。
• 加密完成之后，惡意軟件會再次枚舉所有加密目錄，并分別存放勒索信息，而勒索信息中也會包含對應的那兩個MZR密鑰。

雖然MZR密鑰在密鑰生成或加密的過程中不會發(fā)生變化，但掩碼會持續(xù)更新。它們的生成基于的是SHA1、SHA512和某些自定義算法的混合計算結果。每一個AES和Twofish密鑰還會使用SHA512進行16次計算以及字節(jié)異或。

掩碼和密鑰生成

 
 
 
 

  
  
  
  
*(int*)mask_in = offset;
  
  
  
  

  
  
  
  
 for (int i = 0; i < 0x800; ++i) {
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
     SHA1(mask_in, 0x84, mask_out);
  
  
  
  

  
  
  
  
     *(int*)mask_in = i + 1 + offset;
  
  
  
  

  
  
  
  
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
  
  
  
  

  
  
  
  
     mask[i] = mask_out[1];
  
  
  
  

  
  
  
  
 }
  
  
  
  

  
  
  
  
 offset += 0x800;
  
  
  
  

  
  
  
  
 aes_key = generate_key(mask, mzrkey_private.c_str(), 0x800, mzrkey_private.size());
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
 for (int i = 0; i < 0x200; ++i) {
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
 SHA1(mask_in, 0x84, mask_out);
  
  
  
  

  
  
  
  
     *(int*)mask_in = i + 1 + offset;
  
  
  
  

  
  
  
  
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
  
  
  
  

  
  
  
  
     mask[i] = mask_out[1];
  
  
  
  

  
  
  
  
 }
  
  
  
  

  
  
  
  
 offset += 0x200;
  
  
  
  

  
  
  
  
 twofish_key = generate_key(mask, mzrkey_public.c_str(), 0x200, mzrkey_public.size());
  
  
  
  

  
  
  
  
generate_key:
  
  
  
  

  
  
  
  
 int mzrkey_size_bswap = _byteswap_ulong(mzrkey_len);
  
  
  
  

  
  
  
  
 int mask_size_bswap = _byteswap_ulong(mask_len);
  
  
  
  

  
  
  
  
 for (int i = 0; i < key_SIZE; ++i) {
  
  
  
  

  
  
  
  
   ((int*)in)[0] = _byteswap_ulong(i);
  
  
  
  

  
  
  
  
   for (int j = 0; j < i; ++j)
  
  
  
  

  
  
  
  
      in[j + 4] = key[j];
  
  
  
  

  
  
  
  
   *((int*)(in + 4 + i)) = _byteswap_ulong(1);
  
  
  
  

  
  
  
  
   *((int*)(in + 8 + i)) = mask_size_bswap;
  
  
  
  

  
  
  
  
   memcpy(in + 3 * sizeof(int) + i, mask, mask_len);
  
  
  
  

  
  
  
  
   memcpy(in + 3 * sizeof(int) + mask_len + i, &mzrkey_size_bswap, 4);
  
  
  
  

  
  
  
  
   memcpy(in + 3 * sizeof(int) + mask_len + 4 + i, mzrkey, mzrkey_len);
  
  
  
  

  
  
  
  
   SHA512(in, mask_len + mzrkey_len + 4 * sizeof(int) + i, out);
  
  
  
  

  
  
  
  
   for (int j = 0; j < SHA512_DIGEST_LENGTH; ++j)
  
  
  
  

  
  
  
  
       key[i] ^= out[j];
  
  
  
  

  
  
  
  
 }
 
 
 
 

AES CBC的IV將使用AES 128 ECB生成，位置在一個16字節(jié)緩沖區(qū)內。類似的，Twofish NOFB的IV將使用Twofish 128 ECB生成，位置同樣在一個16字節(jié)緩沖區(qū)內。掩碼的初始內容生成如下：

 
 
 
 

  
  
  
  
memset(mask_in, MASK_IN_SZ, 0);
  
  
  
  

  
  
  
  
 memset(mask_out, MASK_OUT_SZ, 0);
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
 for (int i = 0; i < 0x80; ++i) {
  
  
  
  

  
  
  
  
   SHA1(mask_in, 0x84, mask_out);
  
  
  
  

  
  
  
  
   *(int*)mask_in = i + 1;
  
  
  
  

  
  
  
  
   *(mask_in + 3 + i + 1) = mask_out[0];
  
  
  
  

  
  
  
  
 }
 
 
 
 

實際上，這種加密機制我們此前從未在其他勒索軟件中見到過，而且惡意代碼還會對整個文件系統(tǒng)進行加密，該勒索軟件的硬編碼文件和驅動器列表如下：

 
 
 
 

  
  
  
  
C:\Program Files\Steam
  
  
  
  

  
  
  
  
C:\Program Files (x86)\Steam
  
  
  
  

  
  
  
  
[DRIVES A-Z, WITHOUT C]
  
  
  
  

  
  
  
  
C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Recent\
  
  
  
  

  
  
  
  
C:\Users\%user%\Pictures
  
  
  
  

  
  
  
  
C:\Users\%user%\Music
  
  
  
  

  
  
  
  
C:\Users\%user%\Videos
  
  
  
  

  
  
  
  
C:\Users\%user%\Documents
  
  
  
  

  
  
  
  
C:\Users\Public\Documents
  
  
  
  

  
  
  
  
C:\Users\Public\Videos
  
  
  
  

  
  
  
  
C:\Users\Public\Music
  
  
  
  

  
  
  
  
C:\Users\Public\Pictures
  
  
  
  

  
  
  
  
C:\Users\%user%\Downloads
  
  
  
  

  
  
  
  
C:\Users\%user%\Favorites
  
  
  
  

  
  
  
  
::{645FF040-5081-101B-9F08-00AA002F954E} (Recycle Bin)
  
  
  
  

  
  
  
  
C:\Users\Administrator
  
  
  
  

  
  
  
  
C:\Users\Public
  
  
  
  

  
  
  
  
C:\Users\Default
  
  
  
  

  
  
  
  
C:\Users\%user%\Desktop
  
  
  
  

  
  
  
  
C:\Users\Public\Desktop
  
  
  
  

  
  
  
  
C:\Users\%user%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
  
  
  
  

  
  
  
  
C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start Menu
  
  
  
  

  
  
  
  
C:\ProgramData\Microsoft\Windows\Start Menu\
 
 
 
 

由于掩碼/密鑰生成使用了一個偏移量來代表每一個文件的遞增，那么解密的過程將依賴于文件的加密文件夾。

這款勒索軟件支持的文件加密類型如下：

 
 
 
 

  
  
  
  
.cs;.lnk;.mp3;.jpg;.jpeg;.raw;.tif;.gif;.png;.bmp;.3dm;.max;.accdb;.db;.dbf;.mdb;.pdb;.sql;.dwg;.dxf;.c;.cpp;.cs;.h;.php;.asp;.rb;.java;.jar;.class;.py;.js;.aaf;.aep;.aepx;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.plb;.prel;.prproj;.aet;.ppj;.psd;.indd;.indl;.indt;.indb;.inx;.idml;.pmd;.xqx;.xqx;.ai;.eps;.ps;.svg;.swf;.fla;.as3;.as;.txt;.doc;.dot;.docx;.docm;.dotx;.dotm;.docb;.rtf;.wpd;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.wps;.msg;.pdf;.xls;.xlt;.xlm;.xlsx;.xlsm;.xltx;.xltm;.xlsb;.xla;.xlam;.xll;.xlw;.ppt;.pot;.pps;.pptx;.pptm;.potx;.potm;.ppam;.ppsx;.ppsm;.sldx;.sldm;.wav;.aif;.iff;.m3u;.m4u;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.mid;.mpa;.wma;.ra;.avi;.mov;.mp4;.3gp;.mpeg;.3g2;.asf;.asx;.flv;.mpg;.wmv;.vob;.m3u8;.mkv;.dat;.csv;.efx;.sdf;.vcf;.xml;.ses;.rar;.zip;.7zip;.dtb;.bat;.apk;.vb;.sln;.csproj;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.vbproj;.hpp;.asm;.lua;.ibank;.design;.aspx;.bak;.obj;.sqlite;.sqlite3;.sqlitedb;.back;.backup;.one;.pst;.url;.onetoc2;.m4a;.m4v;.ogg;.hwp;.HWP;.OGG;.M4V;.M4A;.ONETOC2;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.URL;.PST;.ONE;.BACKUP;.BACK;.SQLITEDB;.SQLITE3;.SQLITE;.OBJ;.BAK;.ASPX;.DESIGN;.IBANK;.LUA;.ASM;.HPP;.VBPROJ;.CSPROJ;.SLN;.CS;.VB;.LNK;.JPG;.JPEG;.RAW;.TIF;.GIF;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.PNG;.BMP;.3DM;.MAX;.ACCDB;.DB;.DBF;.MDB;.PDB;.SQL;.DWG;.DXF;.C;.CPP;.CS;.H;.PHP;.ASP;.RB;.JAVA;.JAR;.CLASS;.PY;.JS;.AAF;.AEP;.AEPX;.PLB;.PREL;.PRPROJ;.AET;.PPJ;.PSD;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.INDD;.INDL;.INDT;.INDB;.INX;.IDML;.PMD;.XQX;.XQX;.AI;.EPS;.PS;.SVG;.SWF;.FLA;.AS3;.AS;.TXT;.DOC;.DOT;.DOCX;.DOCM;.DOTX;.DOTM;.DOCB;.RTF;.WPD;.WPS;.MSG;.PDF;.XLS;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.XLT;.XLM;.XLSX;.XLSM;.XLTX;.XLTM;.XLSB;.XLA;.XLAM;.XLL;.XLW;.PPT;.POT;.PPS;.PPTX;.PPTM;.POTX;.POTM;.PPAM;.PPSX;.PPSM;.SLDX;.SLDM;.WAV;.MP3;.AIF;.IFF;.M3U;.M4U;.MID;
  
  
  
  

  
  
  
  
 
  
  
  
  

  
  
  
  
.MPA;.WMA;.RA;.AVI;.MOV;.MP4;.3GP;.MPEG;.3G2;.ASF;.ASX;.FLV;.MPG;.WMV;.VOB;.M3U8;.MKV;.DAT;.CSV;.EFX;.SDF;.VCF;.XML;.SES;.RAR;.ZIP;.7ZIP;.DTB;.BAT;.APK;
 
 
 
 

加密成功之后，該勒索軟件將枚舉全部加密目錄，并一一存放勒索信息，勒索文本文件名為“How Do I Recover My Files (Readme).txt”：

如何解密

第一步：首先點擊【這里】下載解密工具，并存儲在本地設備中。

第二步：雙擊下載下來的BDMaMoDecryptTool.exe應用程序文件，然后在彈出的UAC提示中點擊“Yes”：

第三步：讀取并接受終端用戶許可證協(xié)議：

第四步：考慮到這款勒索軟件家族的特殊性，工具將會以特定的順序來掃描系統(tǒng)，而無法允許用戶指定需要解密的文件夾或文件數據，因此我們強烈建議用戶選擇“備份文件”選項。

第五步：點擊“Start Tool”按鈕，剩下的就交給解密工具來完成吧!如果你選擇了備份選項，那么加密文件和解密文件都將同時出現，你還可以在%temp%\BDRemovalTool目錄中查看到解密過程的日志記錄。

解密工具

BDMaMoDecryptTool.exe：【下載地址】

分享名稱：看我如何恢復被MaMoCrypt勒索軟件加密的數據
網站路徑：http://m.5511xx.com/article/dhhooej.html