解密:目标公司勒索软体
在 2022 年 1 月 25 日,一名遭受勒索软体攻击的受害者联系我们寻求帮助。被加密的档案扩展名和赎金通知显示该攻击与 TargetCompany 勒索软体 有关与 Target 商店无关,在特定情况下可以解密。
TargetCompany 勒索软体的运作方式
当执行该勒索软体时,它会执行一些操作以促进其恶意行为:
为其进程分配 SeTakeOwnershipPrivilege 和 SeDebugPrivilege删除对 vssadminexe、wmicexe、wbadminexe、bcdeditexe、powershellexe、diskshadowexe、netexe 和 taskkilexe 等工具的特殊文件执行选项使用以下命令删除所有驱动器上的阴影副本:windirsysnativevssadminexe delete shadows /all /quiet
重新配置启动选项:bcdedit /set {current} bootstatuspolicy ignoreallfailuresbcdedit /set {current} recoveryenabled no
终止一些可能持有重要档案的进程,例如数据库:
TargetCompany 勒索软体终止的进程列表
MsDtsSrvrexe ntdbsmgrexeReportingServecesServiceexe oracleexefdhostexe sqlservexe
fdlauncherexe sqlservrexemsmdsrvexe sqlwritemysqlexe
完成上述准备后,该勒索软体会使用 GetLogicalDrives() Win32 API 获取系统中所有逻辑驱动器的掩码。每个驱动器通过 GetDriveType() 检查驱动器类型。如果该驱动器有效固定、可移动或网络,则开始对该驱动器进行加密。首先,给每个驱动器填充赎金通知文件名为 RECOVERY INFORMATIONtxt。当这一任务完成后,实际的加密将开始。
排除项目
为了保持感染的 PC 可用,TargetCompany 避免加密某些文件夹和文件类型:
TargetCompany 勒索软体避开的文件夹列表
msocache boot Microsoft Security Client Microsoft MPIwindowsws windowsbt Internet Explorer Windows Kitssystem volume information mozilla Reference MicrosoftNETintel boot Assemblies Windows Mailappdata windowsold Windows Defender Microsoft Security Clientperflogs Windows Microsoft ASPNET Package Storeprogramdatagoogleapplication data WindowsPowerShell Core Runtime Microsoft Analysis Servicestor browser Windows NT Package Windows Portable Devices Windows Store Windows Photo Viewer Common Files Microsoft Help Viewer Windows Sidebar
TargetCompany 勒索软体避开的文件类型列表
386 cpl exe key msstyles rtpadv cur hlp lnk msu scrani deskthemepack hta lock nls shsbat diagcfg icl mod nomedia splcab diagpkg icns mpa ocx syscmd diangcab ico msc prf themecom dll ics msi ps1 themepack drv idx msp rom wpx
该勒索软体为每个文件生成一个加密密钥0x28 字节。此密钥被分为 Chacha20 加密密钥0x20 字节和 nonce0x08字节。加密后,该密钥通过 Curve25519 椭圆曲线 和 AES128 的组合进行保护,并附加到文件的尾部。如下图所示,红色标记的部分显示了在文件数据加密后保存到文件尾部的值:
附加到每个加密文件结尾的文件尾的确切结构,显示为 C 风格结构:
每个包含加密文件的文件夹都包含赎金通知文件。赎金通知的副本也保存在 cHOW TO RECOVER !!TXT 中。
猎豹加速器文件中提到的个人 ID 是存储在每个加密文件中的 personalid 的前六个字节。
如何使用 Avast 解密器恢复文件
要解密您的文件,请遵循以下步骤:
下载免费的 Avast 解密器。选择与您的 Windows 安装相符的版本。64 位版本的速度要快得多,并且当今大多数 Windows 安装都是 64 位。如果您拥有 64 位 Windows,请选择 64 位版本。如果您拥有 32 位 Windows,请选择 32 位版本。直接运行可执行文件。它以向导的形式启动,指导您配置解密过程。在初始页面,您可以查看许可信息,如果您想的话,但您只需单击“下一步”。在下一页,选择您希望进行扫描和解密的文件位置列表。默认情况下,包含所有本地驱动器的列表:在第三页,您需要输入被 TargetCompany 勒索软体加密的文件名。如果您之前运行解密器时创建了加密密码,您可以选择“我知道解密文件的密码”选项:下一页是密码破解过程。当您准备开始该过程时,单击“开始”。在密码破解过程中,您所有可用的处理器核心将花费大部分计算能力来寻找解密密码。破解过程可能需要很长时间,长达数小时。解密器定期保存进度,如果您中断并稍后重新启动解密器,它会提供恢复先前开始的破解过程的选项。每台 PC 只需进行一次密码破解 不需要对每个文件重复执行。当找到密码后,您可以通过单击“下一步”继续进行您 PC 上文件的解密。在最后的向导页面,您可以选择是否希望备份加密文件。如果在解密过程中发生任何错误,这些备份可能会有所帮助。该选项默认是启用的,我们建议您保留。单击“解密”后,解密过程开始。让解密器运行,并等待直到它完成。IOCs
SHA256 文件扩展名98a0fe90ef04c3a7503f2b700415a50e62395853bd1bab9e75fbe75999c0769e mallox3f843cbffeba010445dae2b171caaa99c6b56360de5407da71210d007fe26673 exploitaf723e236d982ceb9ca63521b80d3bee487319655c30285a078e8b529431c46e architeke351d4a21e6f455c6fca41ed4c410c045b136fa47d40d4f2669416ee2574124b brg
标签:分析、解密器、恶意软体、勒索软体、反向工程
分享:X Facebook