安基网 首页 资讯 安全报 查看内容

Pylocky勒索软件的受害者

2019-1-13 08:05| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Pylocky勒索软件的受害者可以免费解密他们的文件我对PyLocky Ransomware的受害者有好消息和坏消息。好消息是,思科Talos集团的安全研究员Mike Bautista发布了一个解密工具,允许他们免费解密他们的文件。PyLocky Ran ...

我对PyLocky Ransomware的受害者有好消息和坏消息。好消息是,思科Talos集团的安全研究员Mike Bautista发布了一个解密工具,允许他们免费解密他们的文件。

PyLocky Ransomware解密工具发布 - 免费解锁文件

我对PyLocky Ransomware的受害者有好消息和坏消息。好消息是,思科Talos集团的安全研究员Mike Bautista发布了一个解密工具,允许他们免费解密他们的文件。

不好的是,文件的恢复并不简单,因为解密器只有在受害者已经捕获PyLocky勒索软件和C2基础设施之间的初始网络流量(PCAP文件)时才能工作。

在此阶段,勒索软件向命令和控制服务器发送有关加密过程的信息,包括包含初始化向量(IV)的字符串和勒索软件用于加密文件的随机密码。

“为了对抗这种勒索软件,思科Talos正在发布 免费的解密工具。因为我们的工具需要捕获受感染机器的初始PyLocky命令和控制(C2)流量,所以它只能用于恢复受监控网络流量的受感染机器上的文件。“阅读Talos发布的帖子。

“如果尚未捕获初始C2流量,我们的解密工具将无法恢复受感染计算机上的文件。这是因为恶意软件使用初始标注来发送它在加密过程中使用的C2服务器信息“

每个文件都以base64格式编码,然后勒索软件使用随机生成的初始化向量(IV)和密码来加密受感染系统上的所有文件。

PyLocky 趋势科技于2018年7月 首次发现它,它是用Python编写的,它与PyInstaller工具一起打包,该工具通常用于将Python程序冻结为独立的可执行文件。

勒索软件是通过垃圾邮件发送的,其中大部分都是针对欧洲国家,特别是法国。

PyLocky 凭借其反机器学习能力脱颖而出,它还利用了基于开源脚本的Inno Setup Installer。

为避免分析工具(如沙箱),如果受感染系统的总可见内存小于4GB,则可疑代码将休眠999,999秒,大约为11.5天。

加密例程使用PyCrypto库实现,并利用3DES(三重DES)密码。PyLocky枚举了hot的逻辑驱动器,并生成一个文件列表,用于使用加密版本覆盖列表中的每个文件。

在该过程结束时,勒索软件会丢失一份可能是英语,法语,韩语或意大利语的赎金票据,这种情况暗示了威胁背后的运营商的可能目标。

该恶意软件试图伪装成一个显示赎金票据的Locky变体,声称是可怕的勒索软件的变种。

专家们 在GitHub上发布了PyLocky勒索软件解密工具。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6645505330497192452/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部