文章前言
2021年10月17日,Jiří Vinopal发布了有关AtomSilo勒索软件弱点的信息,并且可以在不支付赎金的情况下解密文件,之后他还分析了另一种勒索软件LockFile,之后提供了免费的Avast解密了AtomSilo和LockFile
工具限制
在解密过程中Avast AtomSilo decryptor依赖于已知的文件格式来验证文件是否已成功解密,因此某些文件可能无法解密,包括具有专有格式或未知格式的文件,或者根本没有格式的文件,例如:文本文件
解密原理
AtomSilo和LockFile勒索病毒非常相似,AtomSilo勒索软件使用固定驱动器列表搜索本地驱动器,同时LockFile调用GetLogicalDriveStringsA()和处理所有固定驱动器。
为列表中的每个驱动器创建一个单独的线程,该线程递归搜索给定的逻辑驱动器并加密在其上找到的文件,为了防止完全瘫痪受感染的PC,AtomSilo这里列出了未加密的文件夹、文件名和文件类型列表:
LockFile跳过包含这些子字符串的文件和文件夹:
除此之外还有一个788不会被加密的文件类型(扩展名)列表,这些包括.exe,但也.jpg,.bmp 和.gif,您可能会注意到其中一些重复包含在内
勒索软件RSA-4096为每个受害者生成会话密钥对,然后将其私有部分存储在赎金票据文件中,并由主RSA密钥加密(以二进制硬编码),AES-256为每个文件生成一个新的文件密钥,该密钥随后由会话RSA密钥加密,并与原始文件大小一起存储在加密文件的末尾,每个加密文件都包含一个赎金票据文件,其中一个名称是:
README-FILE-%ComputerName%-%TimeStamp%.htaLOCKFILE-FILE-%ComputerName%-%TimeStamp%.hta
加密文件可以通过.ATOMSILO或.lockfile扩展名识别:
加密过程完成后,赎金记录会显示给用户,每个病毒的赎金票据都有其自己的外观
解密操作
Step 1:下载免费解密工具,单个EXE文件涵盖了两种勒索软件
https://files.avast.com/files/decryptor/avast_decryptor_atomsilo.exe Step 2:运行EXE,之后它会以向导的形式启动,引导您完成解密过程的配置
Step 3:在初始页面上,您以看到信用列表,只需点击"下一步"
Step 4:在下一页上,选择要解密的位置列表,默认情况下,它包含所有本地驱动器的列表
Step 5:在第三页您可以选择是否要备份加密文件,如果在解密过程中出现任何问题,这些备份可能会有所帮助,默认情况下,此选项处于启用状态,我们建议这样做,单击“解密”后,解密过程开始
Step 6:之后等待解密器完成解密操作
参考链接:
Avast releases decryptor for AtomSilo and LockFile ransomware - Avast Threat Labs
