-
-
勒索软件-“Locker”作者放出私钥数据库
-
发表于:
2015-6-12 08:33
2368
-
新闻链接:
b20K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0G2j5X3q4G2i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1k6F1k6i4N6K6i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3x3e0j5I4y4q4)9J5k6h3S2@1L8h3H3`.
新闻时间:2015-6-01
新闻正文:
据说,"Locker"勒索软件的作者已经上传了一个C2服务器数据库的转储,公布了私钥数据。这名作者说很后悔发布了勒索软件,以后再也不会使用这些密钥,从6月2日开始受影响的主机会自动开始解锁。
t0117ef46ed532ef266.png
这名作者于2015/5/30发布的帖子 [url =
818K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2M7%4c8W2j5X3W2F1i4K6u0W2j5$3!0E0i4K6u0r3x3g2N6K9c8%4q4J5g2f1S2Q4y4f1b7`. 。
大家好,我是Locker的作者,我很抱歉发生了这样的事。其实,发布Locker并不是我的本意。我已经把
数据库上传到了
mega.co.nz
。数据库中包含有"比特币地址、 公钥、和私钥",数据格式是CSV。 这个
数据库转储是完整的,其中还包含了一些我没有使用过的密钥。从今往后,我不会再传播任何任何新的密
钥了。 hxxps: / /
mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4
从6 月 2 日午夜开始,所有被锁的主机都会陆续自动解锁。
@开发者们可能注意到了,私钥使用的是RSACryptoServiceProvider .net类 , 使用了RijndaelManaged 类的AES 256 位密钥来加密文件。
下面是加密文件的结构:
- 32 位整数, 标头长度
- 字节数组, 标头 (长度是前面的int)
*使用RSA&私钥来解密字节数组
解密后的字节数组包含:
-32 位整数,IV 长度
-字节数组,IV长度 (长度是在以前的 int)
-32 位整数,密钥长度
-字节数组,密钥 (长度是前面的 int)
-其余的数据都是由真正文件决定的,可以使用 Rijndaelmanaged 、IV 和密钥解密。
再次抱歉给你添麻烦了。
File Information
Name:
database_dump.csv
Size:
127.5 MB
MD5: d4d781412e562b76fe0db0977cf6279b
SHA-1: 6ba671ce2a6c256c74d7db81186b0dbddd5e2185
SHA-256: d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f
VirusTotal:
cc0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3V1k6X3K9h3I4W2i4K6u0r3k6o6N6X3k6o6M7&6x3h3t1^5y4U0j5I4y4h3k6S2k6r3p5$3y4r3k6W2x3o6t1&6x3r3q4W2j5$3t1%4x3r3f1#2y4e0R3@1j5U0W2S2j5K6f1%4x3r3f1%4j5U0f1#2y4e0x3@1y4e0f1#2j5e0y4T1y4o6j5^5j5U0x3K6k6W2)9J5c8X3q4F1j5h3I4&6M7$3W2K6i4K6u0r3x3e0b7K6x3K6l9I4y4e0M7@1y4#2)9J5c8R3`.`.
经过简单的分析后,我们确定这个文件并不是恶意的,也确实提供了大量的 RSA 密钥。
CSV 文件中包含有比特币地址和 RSA 密钥。
您需要自担风险打开这个文件的风险,我们还会继续分析这个文件。
2015 年 5 月 31 日更新
资深程序员-内森 · 斯科特(Nathan Scott)一直在开发解密攻击以及其他安全工具 (发布在BleepingComputer.com),并且他已经成功开发出了一个可以解锁Locker的解密工具 。
点击下面的URL下载解密工具:
3f6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6W2j5i4y4&6M7%4W2F1j5$3u0S2j5$3E0#2M7q4)9J5k6h3y4G2L8g2)9J5c8V1c8G2N6$3&6D9L8$3q4V1M7#2)9J5c8V1I4G2j5$3E0W2M7W2g2F1L8r3!0U0K9$3g2J5i4K6g2X3N6U0q4Q4x3X3f1H3i4K6u0W2y4W2)9J5k6e0m8Q4x3X3g2W2P5r3f1`.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
