

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

}

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

MaMoCrypt نسخه‌ای از باج‌افزار MZRevenge است .که به زبان Dephi نوشته شده و با mpress بسته بندی شده است.

در این مقاله نحوه استفاده از ابزار رمزگشایی بیت دیفندر را برای باج‌افزار MaMoCrypt به شما آموزش می دهیم.

اگر نمی خواهید تجزیه و تحلیل فنی را انجام دهید. می توانید با دانلود ابزار زیر، مستقیماً به رمزگشایی بروید.

دانلود

نحوه عملکرد باج افزار MaMoCrypt

این باج‌افزار اقدام به حذف نسخه های موسوم به Shadow Volumes و غیرفعالسازی دیواره آتش و سازوکار UAC بر روی دستگاه می‌کند.
با استفاده از ژنراتور تصادفی Delphi و یک DWORD بر اساس زمان (با استفاده از QueryPerformanceCounter یا GetTickCount) ، دو بافر که در ابتدای آن MZRKEYPUBLIC یا MZRKEYPRIVATE درج شده است ایجاد می کند.
با استفاده از این کلید ها و یک قالب (Mask) دو کلید برای هر فایل ایجاد می کند .که در زمان رمزگذاری فایل ها از آن استفاده کرده است. محتوا ابتدا با استفاده از الگوریتم AES 128 CBC رمزگذاری می شود. و مجدد با استفاده از Twofish 128 NOFB رمزگذاری مجدد می شود. همه فایل های رمزگذاری شده و در نهایت به آن پسوند MZ173801 را الصاق می‌کند.
بعد از رمزگذاری بد افزار به تمام پوشه های رمزگذاری شده می رود .و یک فایل متنی در خصوص باج درخواست شده (ransome note) را قرار می دهد. این فایل شامل دو کلید MZR نیز هست.

نکته : اگر چه که کلیدهای MZR تغییر نمی کنند. ولی Mask استفاده شده به صورت دائم درحال تغییر است. این تغییر با استفاده از ترکیب الگوریتم های SHA1، SHA256 و برخی محاسبات سفارشی شده، انجام می شود. کلیدهای AES و TWOFISH با استفاده از SHA512 16 بار برای هر کلید و XOR کردن بایت ها، با استفاده از نتیجه به عنوان n مین بایت کلید، محاسبه می شوند.

نحوه تولید ماسک و کلیدها

*(int*)mask_in = offset;
 for (int i = 0; i < 0x800; ++i) {
 
     SHA1(mask_in, 0x84, mask_out);
     *(int*)mask_in = i + 1 + offset;
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
     mask[i] = mask_out[1];
 }
 offset += 0x800;
 aes_key = generate_key(mask, mzrkey_private.c_str(), 0x800, mzrkey_private.size());
 
 for (int i = 0; i < 0x200; ++i) {
 
 SHA1(mask_in, 0x84, mask_out);
     *(int*)mask_in = i + 1 + offset;
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
     mask[i] = mask_out[1];
 }
 offset += 0x200;
 twofish_key = generate_key(mask, mzrkey_public.c_str(), 0x200, mzrkey_public.size());
generate_key:
 int mzrkey_size_bswap = _byteswap_ulong(mzrkey_len);
 int mask_size_bswap = _byteswap_ulong(mask_len);
 for (int i = 0; i < key_SIZE; ++i) {
   ((int*)in)[0] = _byteswap_ulong(i);
   for (int j = 0; j < i; ++j)
      in[j + 4] = key[j];
   *((int*)(in + 4 + i)) = _byteswap_ulong(1);
   *((int*)(in + 8 + i)) = mask_size_bswap;
   memcpy(in + 3 * sizeof(int) + i, mask, mask_len);
   memcpy(in + 3 * sizeof(int) + mask_len + i, &mzrkey_size_bswap, 4);
   memcpy(in + 3 * sizeof(int) + mask_len + 4 + i, mzrkey, mzrkey_len);
   SHA512(in, mask_len + mzrkey_len + 4 * sizeof(int) + i, out);
   for (int j = 0; j < SHA512_DIGEST_LENGTH; ++j)
       key[i] ^= out[j];
 }

IV برای الگوریتم AES CBC با استفاده از AES 128 ECB بر روی یک بافر ۱۶ بایت که با مقدار 0XFF مقداردهی شده اند، تولید شده است. شبیه به IV برای TWOFISH NOFB نیز برای TWOFISH 128 ECB بر روی یک بافر ۱۶ بایتی با مقدار 0xFF استفاده شده است. ماسک تولید شده نیز به صورت زیر دائما در حال تولید است.

به دلیل وجود باگی در پیکربندی آن، اعمال فرایند رمزگذاری MaMoCrypt بر روی فایل‌های بزرگ‌تر از ۴ گیگابایت موجب خرابی دائمی آنها می‌شود.

این باج‌افزار نه همه فایل‌ها که صرفا فایل‌های ذخیره شده در مسیرهای زیر را رمزگذاری می‌کند.

از آنجایی که ماسک تولید شده از offsetی که به طور افزایشی بر روی هر فایل، بهره برده است. زمان رمزگشایی ممکن است بر مبنای تعداد فایل ها در فولدرهای رمزگذاری شده،‌ طولانی شود. همچنین لازم به ذکر است که این باج افزار فقط فایل‌هایی با پسوند های زیر را رمزگذاری می کند.

.cs;.lnk;.mp3;.jpg;.jpeg;.raw;.tif;.gif;.png;.bmp;.3dm;.max;.accdb;.db;.dbf;.mdb;.pdb;.sql;.dwg;.dxf;.c;.cpp;.cs;.h;.php;.asp;.rb;.java;.jar;.class;.py;.js;.aaf;.aep;.aepx;

.plb;.prel;.prproj;.aet;.ppj;.psd;.indd;.indl;.indt;.indb;.inx;.idml;.pmd;.xqx;.xqx;.ai;.eps;.ps;.svg;.swf;.fla;.as3;.as;.txt;.doc;.dot;.docx;.docm;.dotx;.dotm;.docb;.rtf;.wpd;

.wps;.msg;.pdf;.xls;.xlt;.xlm;.xlsx;.xlsm;.xltx;.xltm;.xlsb;.xla;.xlam;.xll;.xlw;.ppt;.pot;.pps;.pptx;.pptm;.potx;.potm;.ppam;.ppsx;.ppsm;.sldx;.sldm;.wav;.aif;.iff;.m3u;.m4u;

.mid;.mpa;.wma;.ra;.avi;.mov;.mp4;.3gp;.mpeg;.3g2;.asf;.asx;.flv;.mpg;.wmv;.vob;.m3u8;.mkv;.dat;.csv;.efx;.sdf;.vcf;.xml;.ses;.rar;.zip;.7zip;.dtb;.bat;.apk;.vb;.sln;.csproj;

.vbproj;.hpp;.asm;.lua;.ibank;.design;.aspx;.bak;.obj;.sqlite;.sqlite3;.sqlitedb;.back;.backup;.one;.pst;.url;.onetoc2;.m4a;.m4v;.ogg;.hwp;.HWP;.OGG;.M4V;.M4A;.ONETOC2;

.URL;.PST;.ONE;.BACKUP;.BACK;.SQLITEDB;.SQLITE3;.SQLITE;.OBJ;.BAK;.ASPX;.DESIGN;.IBANK;.LUA;.ASM;.HPP;.VBPROJ;.CSPROJ;.SLN;.CS;.VB;.LNK;.JPG;.JPEG;.RAW;.TIF;.GIF;

.PNG;.BMP;.3DM;.MAX;.ACCDB;.DB;.DBF;.MDB;.PDB;.SQL;.DWG;.DXF;.C;.CPP;.CS;.H;.PHP;.ASP;.RB;.JAVA;.JAR;.CLASS;.PY;.JS;.AAF;.AEP;.AEPX;.PLB;.PREL;.PRPROJ;.AET;.PPJ;.PSD;

.INDD;.INDL;.INDT;.INDB;.INX;.IDML;.PMD;.XQX;.XQX;.AI;.EPS;.PS;.SVG;.SWF;.FLA;.AS3;.AS;.TXT;.DOC;.DOT;.DOCX;.DOCM;.DOTX;.DOTM;.DOCB;.RTF;.WPD;.WPS;.MSG;.PDF;.XLS;

.XLT;.XLM;.XLSX;.XLSM;.XLTX;.XLTM;.XLSB;.XLA;.XLAM;.XLL;.XLW;.PPT;.POT;.PPS;.PPTX;.PPTM;.POTX;.POTM;.PPAM;.PPSX;.PPSM;.SLDX;.SLDM;.WAV;.MP3;.AIF;.IFF;.M3U;.M4U;.MID;

.MPA;.WMA;.RA;.AVI;.MOV;.MP4;.3GP;.MPEG;.3G2;.ASF;.ASX;.FLV;.MPG;.WMV;.VOB;.M3U8;.MKV;.DAT;.CSV;.EFX;.SDF;.VCF;.XML;.SES;.RAR;.ZIP;.7ZIP;.DTB;.BAT;.APK;

پس از پایان فرایند رمزگذاری، اطلاعیه باج‌گیری (Ransom Note) با نام How Do I Recover My Files (Readme).txt در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمز شده است کپی می‌شود.

ابزار رمزگشایی بیت‌دیفندر

1- رمزگشای زیر را دانلود کنید. و آن را در مکان دلخواه از رایانه خود ذخیره کنید.

دانلود

2- با دوبار کلیک بر روی پرونده exe ابزار را اجرا کنید.وبر روی Yes در اعلان UAC کلیک کنید.

3- توافق نامه لایسنس را بخوانید و بپذیرید.

4- به دلیل برخی مشخصات این خانواده باج افزار، این ابزار سیستم را به ترتیب خاصی اسکن می کند تا اینکه به کاربر اجازه دهد پوشه ای را با داده های رمزگذاری شده انتخاب کند. ما اکیداً توصیه می کنیم که کاربران گزینه Backup files را انتخاب کنند.

5- دکمه Start Tool را فشار دهید. و اجازه دهید رمزگشا کار را به پایان برساند. پرونده های شما اکنون باید رمزگشایی شوند. اگر گزینه پشتیبان گیری را تیک بزنید. هر دو پرونده رمزگذاری شده و رمزگشایی شده را مشاهده خواهید کرد. همچنین می توانید log file را که توصیف فرآیند رمزگشایی است در پوشه %temp%\BDRemovalTool پیدا کنید.

← قبلی بعدی →

جدیدترین مقالات

ساخت تایمر با پاورپوینت

ساخت تایمر با پاورپوینت در این مقاله نحوه ی ساخت تایمر با پاورپوینت را مشاهده می کنیم. یکی از پارامترهای مهم در ارائه...

استفاده از Xbox Cloud Gaming در برنامه Xbox ویندوز

امکان استفاده از Xbox Cloud Gaming در برنامه Xbox ویندوز مایکروسافت قابلیت Xbox Cloud Gaming را برای همه مشترکین Xbox...

عکس های یکبارمصرف در واتساپ با قابلیت View Once

عکس های یکبارمصرف در واتساپ با View Once واتساپ به کاربران اجازه می دهد عکس های یکبار مصرف و فیلم های ناپدید شونده...

نحوه حذف ویجت اخبار و علایق در ویندوز10

نحوه حذف ویجت اخبار و علایق (News and Interests) در ویندوز10 مایکروسافت اعلام کرده بود که افراد بیشتری برای مشاهده...

نحوه نصب آنتی ویروس ترندمیکرو

نحوه نصب و فعالسازی آنتی ویروس ترندمیکرو در ویندوز و Mac[showmodule...

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

برای استفاده از امکانات کامل آنتی ویروس بیت دیفندر نیاز به استفاده از لایسنس اورجینال دارید . برای خرید لایسنس اورجینال محصولات بیت دیفندر از لینک زیر استفاده کنید و با زدن کد تخفیفی padralearning از تخفیف ویژه و اختصاصی کاربران مرکز آموزش پادرا بهره مند شوید .

خرید لایسنس محصولات اوریجینال بیت دیفندر

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

مدیریت رمزها با کسپرسکی

مدیریت رمزها با کسپرسکی مدیریت رمز عبور (Password manager) در آنتی ویروس Kaspersky Total Security با استفاده از قابلیت مدیریت رمزها با کسپرسکی ، میتوانید اطلاعات بانکی و اطلاعات شخصی خود را به صورت امن ذخیره کنید.قابلیت Password manager کسپرسکی رمزعبورهای قوی ایجاد...

محافظت مقابل باج افزارها با کسپرسکی

محافظت مقابل باج افزارها با کسپرسکیچگونه می توان از رایانه شخصی خود در برابر باج افزارها محافظت کرد؟ Ransomware نوعی بدافزار رمزگذاری کننده فایل ها است که فایل های شما را رمزنگاری میکند و سپس برای برای رمزگشایی آنها باج می خواهد.بعضی از برنامه ها بدون درخواست باج،فایل...

قابلیت Safe Money کسپرسکی

قابلیت Safe Money کسپرسکی اگر میخواهید که معاملات آنلاین خود را با امنیت خاطر انجام دهید ، یکی از راه های آن استفاده از قابلیت Safe Money کسپرسکی می باشد .در این مقاله با ما همراه باشید: هنگامی که صفحات سیستم های پرداخت آنلاین را باز میکنید،آنتی ویروس Kaspersky از شما...

پیشنهاد ویژه مرکز آموزش پادرا

آنتی ویروس

آنتی ویروس / بیت دیفندر

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

ژوئن 23, 2021

نظرات 0

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

نحوه عملکرد باج افزار MaMoCrypt

نحوه تولید ماسک و کلیدها

ابزار رمزگشایی بیت‌دیفندر

جدیدترین مقالات

ساخت تایمر با پاورپوینت

استفاده از Xbox Cloud Gaming در برنامه Xbox ویندوز

عکس های یکبارمصرف در واتساپ با قابلیت View Once

نحوه حذف ویجت اخبار و علایق در ویندوز10

نحوه نصب آنتی ویروس ترندمیکرو

اشتراک در خبرنامه

موفقیت آمیز!

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

مدیریت رمزها با کسپرسکی

محافظت مقابل باج افزارها با کسپرسکی

قابلیت Safe Money کسپرسکی

درخواست آموزش سفارشی

درباره ی مرکز آموزش پادرا

صفحات ما را دنبال کنید

با ما در تماس باشید

آنتی ویروس / بیت دیفندر

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

نحوه عملکرد باج افزار MaMoCrypt

نحوه تولید ماسک و کلیدها

ابزار رمزگشایی بیت‌دیفندر

جدیدترین مقالات

اشتراک در خبرنامه

موفقیت آمیز!

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

خرید لایسنس اوریجینال محصولات بیت دیفندربا20 درصد تخفیف با کد تخفیف padralearning