

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

}

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

MaMoCrypt نسخه‌ای از باج‌افزار MZRevenge است .که به زبان Dephi نوشته شده و با mpress بسته بندی شده است.

در این مقاله نحوه استفاده از ابزار رمزگشایی بیت دیفندر را برای باج‌افزار MaMoCrypt به شما آموزش می دهیم.

اگر نمی خواهید تجزیه و تحلیل فنی را انجام دهید. می توانید با دانلود ابزار زیر، مستقیماً به رمزگشایی بروید.

دانلود

نحوه عملکرد باج افزار MaMoCrypt

این باج‌افزار اقدام به حذف نسخه های موسوم به Shadow Volumes و غیرفعالسازی دیواره آتش و سازوکار UAC بر روی دستگاه می‌کند.
با استفاده از ژنراتور تصادفی Delphi و یک DWORD بر اساس زمان (با استفاده از QueryPerformanceCounter یا GetTickCount) ، دو بافر که در ابتدای آن MZRKEYPUBLIC یا MZRKEYPRIVATE درج شده است ایجاد می کند.
با استفاده از این کلید ها و یک قالب (Mask) دو کلید برای هر فایل ایجاد می کند .که در زمان رمزگذاری فایل ها از آن استفاده کرده است. محتوا ابتدا با استفاده از الگوریتم AES 128 CBC رمزگذاری می شود. و مجدد با استفاده از Twofish 128 NOFB رمزگذاری مجدد می شود. همه فایل های رمزگذاری شده و در نهایت به آن پسوند MZ173801 را الصاق می‌کند.
بعد از رمزگذاری بد افزار به تمام پوشه های رمزگذاری شده می رود .و یک فایل متنی در خصوص باج درخواست شده (ransome note) را قرار می دهد. این فایل شامل دو کلید MZR نیز هست.

نکته : اگر چه که کلیدهای MZR تغییر نمی کنند. ولی Mask استفاده شده به صورت دائم درحال تغییر است. این تغییر با استفاده از ترکیب الگوریتم های SHA1، SHA256 و برخی محاسبات سفارشی شده، انجام می شود. کلیدهای AES و TWOFISH با استفاده از SHA512 16 بار برای هر کلید و XOR کردن بایت ها، با استفاده از نتیجه به عنوان n مین بایت کلید، محاسبه می شوند.

نحوه تولید ماسک و کلیدها

*(int*)mask_in = offset;
 for (int i = 0; i < 0x800; ++i) {
 
     SHA1(mask_in, 0x84, mask_out);
     *(int*)mask_in = i + 1 + offset;
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
     mask[i] = mask_out[1];
 }
 offset += 0x800;
 aes_key = generate_key(mask, mzrkey_private.c_str(), 0x800, mzrkey_private.size());
 
 for (int i = 0; i < 0x200; ++i) {
 
 SHA1(mask_in, 0x84, mask_out);
     *(int*)mask_in = i + 1 + offset;
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
     mask[i] = mask_out[1];
 }
 offset += 0x200;
 twofish_key = generate_key(mask, mzrkey_public.c_str(), 0x200, mzrkey_public.size());
generate_key:
 int mzrkey_size_bswap = _byteswap_ulong(mzrkey_len);
 int mask_size_bswap = _byteswap_ulong(mask_len);
 for (int i = 0; i < key_SIZE; ++i) {
   ((int*)in)[0] = _byteswap_ulong(i);
   for (int j = 0; j < i; ++j)
      in[j + 4] = key[j];
   *((int*)(in + 4 + i)) = _byteswap_ulong(1);
   *((int*)(in + 8 + i)) = mask_size_bswap;
   memcpy(in + 3 * sizeof(int) + i, mask, mask_len);
   memcpy(in + 3 * sizeof(int) + mask_len + i, &mzrkey_size_bswap, 4);
   memcpy(in + 3 * sizeof(int) + mask_len + 4 + i, mzrkey, mzrkey_len);
   SHA512(in, mask_len + mzrkey_len + 4 * sizeof(int) + i, out);
   for (int j = 0; j < SHA512_DIGEST_LENGTH; ++j)
       key[i] ^= out[j];
 }

IV برای الگوریتم AES CBC با استفاده از AES 128 ECB بر روی یک بافر ۱۶ بایت که با مقدار 0XFF مقداردهی شده اند، تولید شده است. شبیه به IV برای TWOFISH NOFB نیز برای TWOFISH 128 ECB بر روی یک بافر ۱۶ بایتی با مقدار 0xFF استفاده شده است. ماسک تولید شده نیز به صورت زیر دائما در حال تولید است.

به دلیل وجود باگی در پیکربندی آن، اعمال فرایند رمزگذاری MaMoCrypt بر روی فایل‌های بزرگ‌تر از ۴ گیگابایت موجب خرابی دائمی آنها می‌شود.

این باج‌افزار نه همه فایل‌ها که صرفا فایل‌های ذخیره شده در مسیرهای زیر را رمزگذاری می‌کند.

از آنجایی که ماسک تولید شده از offsetی که به طور افزایشی بر روی هر فایل، بهره برده است. زمان رمزگشایی ممکن است بر مبنای تعداد فایل ها در فولدرهای رمزگذاری شده،‌ طولانی شود. همچنین لازم به ذکر است که این باج افزار فقط فایل‌هایی با پسوند های زیر را رمزگذاری می کند.

.cs;.lnk;.mp3;.jpg;.jpeg;.raw;.tif;.gif;.png;.bmp;.3dm;.max;.accdb;.db;.dbf;.mdb;.pdb;.sql;.dwg;.dxf;.c;.cpp;.cs;.h;.php;.asp;.rb;.java;.jar;.class;.py;.js;.aaf;.aep;.aepx;

.plb;.prel;.prproj;.aet;.ppj;.psd;.indd;.indl;.indt;.indb;.inx;.idml;.pmd;.xqx;.xqx;.ai;.eps;.ps;.svg;.swf;.fla;.as3;.as;.txt;.doc;.dot;.docx;.docm;.dotx;.dotm;.docb;.rtf;.wpd;

.wps;.msg;.pdf;.xls;.xlt;.xlm;.xlsx;.xlsm;.xltx;.xltm;.xlsb;.xla;.xlam;.xll;.xlw;.ppt;.pot;.pps;.pptx;.pptm;.potx;.potm;.ppam;.ppsx;.ppsm;.sldx;.sldm;.wav;.aif;.iff;.m3u;.m4u;

.mid;.mpa;.wma;.ra;.avi;.mov;.mp4;.3gp;.mpeg;.3g2;.asf;.asx;.flv;.mpg;.wmv;.vob;.m3u8;.mkv;.dat;.csv;.efx;.sdf;.vcf;.xml;.ses;.rar;.zip;.7zip;.dtb;.bat;.apk;.vb;.sln;.csproj;

.vbproj;.hpp;.asm;.lua;.ibank;.design;.aspx;.bak;.obj;.sqlite;.sqlite3;.sqlitedb;.back;.backup;.one;.pst;.url;.onetoc2;.m4a;.m4v;.ogg;.hwp;.HWP;.OGG;.M4V;.M4A;.ONETOC2;

.URL;.PST;.ONE;.BACKUP;.BACK;.SQLITEDB;.SQLITE3;.SQLITE;.OBJ;.BAK;.ASPX;.DESIGN;.IBANK;.LUA;.ASM;.HPP;.VBPROJ;.CSPROJ;.SLN;.CS;.VB;.LNK;.JPG;.JPEG;.RAW;.TIF;.GIF;

.PNG;.BMP;.3DM;.MAX;.ACCDB;.DB;.DBF;.MDB;.PDB;.SQL;.DWG;.DXF;.C;.CPP;.CS;.H;.PHP;.ASP;.RB;.JAVA;.JAR;.CLASS;.PY;.JS;.AAF;.AEP;.AEPX;.PLB;.PREL;.PRPROJ;.AET;.PPJ;.PSD;

.INDD;.INDL;.INDT;.INDB;.INX;.IDML;.PMD;.XQX;.XQX;.AI;.EPS;.PS;.SVG;.SWF;.FLA;.AS3;.AS;.TXT;.DOC;.DOT;.DOCX;.DOCM;.DOTX;.DOTM;.DOCB;.RTF;.WPD;.WPS;.MSG;.PDF;.XLS;

.XLT;.XLM;.XLSX;.XLSM;.XLTX;.XLTM;.XLSB;.XLA;.XLAM;.XLL;.XLW;.PPT;.POT;.PPS;.PPTX;.PPTM;.POTX;.POTM;.PPAM;.PPSX;.PPSM;.SLDX;.SLDM;.WAV;.MP3;.AIF;.IFF;.M3U;.M4U;.MID;

.MPA;.WMA;.RA;.AVI;.MOV;.MP4;.3GP;.MPEG;.3G2;.ASF;.ASX;.FLV;.MPG;.WMV;.VOB;.M3U8;.MKV;.DAT;.CSV;.EFX;.SDF;.VCF;.XML;.SES;.RAR;.ZIP;.7ZIP;.DTB;.BAT;.APK;

پس از پایان فرایند رمزگذاری، اطلاعیه باج‌گیری (Ransom Note) با نام How Do I Recover My Files (Readme).txt در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمز شده است کپی می‌شود.

ابزار رمزگشایی بیت‌دیفندر

1- رمزگشای زیر را دانلود کنید. و آن را در مکان دلخواه از رایانه خود ذخیره کنید.

دانلود

2- با دوبار کلیک بر روی پرونده exe ابزار را اجرا کنید.وبر روی Yes در اعلان UAC کلیک کنید.

3- توافق نامه لایسنس را بخوانید و بپذیرید.

4- به دلیل برخی مشخصات این خانواده باج افزار، این ابزار سیستم را به ترتیب خاصی اسکن می کند تا اینکه به کاربر اجازه دهد پوشه ای را با داده های رمزگذاری شده انتخاب کند. ما اکیداً توصیه می کنیم که کاربران گزینه Backup files را انتخاب کنند.

5- دکمه Start Tool را فشار دهید. و اجازه دهید رمزگشا کار را به پایان برساند. پرونده های شما اکنون باید رمزگشایی شوند. اگر گزینه پشتیبان گیری را تیک بزنید. هر دو پرونده رمزگذاری شده و رمزگشایی شده را مشاهده خواهید کرد. همچنین می توانید log file را که توصیف فرآیند رمزگشایی است در پوشه %temp%\BDRemovalTool پیدا کنید.

← قبلی بعدی →

جدیدترین مقالات

ابزار رمزگشایی بیت دیفندر برای باج افزار Shade

ابزار رمزگشایی بیت دیفندر برای باج افزار Shade بیت دیفندر به تازگی یک ابزار رمزگشایی برای Ransomware Shade (Troldesh)...

ابزار رمزگشایی بیت دیفندر برای باج افزار WannaRen

ابزار رمزگشایی بیت دیفندر برای باج افزار WannaRen باج افزار WannaRen در آوریل 2020 رویت شد. این باج افزار بیشتر توسط...

رمزگشایی باج افزار Paradise توسط بیت دیفندر

رمزگشایی باج افزار Paradise توسط بیت دیفندر باج افزار Paradise ابتدا در سال 2017 مشاهده شد.این باج افزار پس از آلودگی...

رمزگشایی باج افزار Fonix توسط بیت دیفندر

رمزگشایی باج افزار Fonix بیت دیفندر موفق شده است رمزگشایی برای باج افزار Fonix بسازد و آن را هم اکنون در اختیار دیگران...

ابزار رمزگشایی بیت دیفندر برای باج افزار GoGoogle

ابزار رمزگشایی بیت دیفندر برای باج افزار GoGoogle در این مقاله ابزار رمزگشایی بیت دیفندر برای باج افزار GoGoogle...

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

برای استفاده از امکانات کامل آنتی ویروس بیت دیفندر نیاز به استفاده از لایسنس اورجینال دارید . برای خرید لایسنس اورجینال محصولات بیت دیفندر از لینک زیر استفاده کنید و با زدن کد تخفیفی padralearning از تخفیف ویژه و اختصاصی کاربران مرکز آموزش پادرا بهره مند شوید .

خرید لایسنس محصولات اوریجینال بیت دیفندر

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

مدیریت برنامه ها با کسپرسکی

مدیریت برنامه ها با کسپرسکیچگونه می توانیم نصب برنامه ها را با استفاده از application manager در Kaspersky total security مدیریت کنیم؟ با استفاده از قابلیت مدیریت برنامه ها با کسپرسکی می توانید برنامه ها یا برنامه های افزودنی مرورگر را در رایانه خود پیدا کنید که از آن...

آموزش قابلیت ضدسرقت کسپرسکی

آموزش قابلیت ضدسرقت کسپرسکی نحوه ی قفل و مشخص کردن دستگاه گوشی گمشده با استفاده از کسپرسکی برای اندرویدبا استفاده از قابلیت Anti-theft(ضد سرقت)، می توانید دستگاه گمشده ی خود را قفل کرده و از مکان آن مطلع شوید.دستگاه ها از طریق GPS،و یا اگر GPS در دسترس نبود از شبکه...

آموزش پاک کردن کسپرسکی

آموزش پاک کردن کسپرسکیبا آموزش پاک کردن کسپرسکی در خدمت شما دوستان گرامی هستیم . برای پاک کردن کسپرسکی در ویندوز این مراحل را دنبال کنید . برای حذف برنامه کسپرسکی مراحل زیر را دنبال کنید: 1-Control panel را باز کرده. 2-به قسمت Programs and features بروید. 3-برنامه...

پیشنهاد ویژه مرکز آموزش پادرا

آنتی ویروس

آنتی ویروس / بیت دیفندر

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

ژوئن 23, 2021

نظرات 0

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

نحوه عملکرد باج افزار MaMoCrypt

نحوه تولید ماسک و کلیدها

ابزار رمزگشایی بیت‌دیفندر

جدیدترین مقالات

ابزار رمزگشایی بیت دیفندر برای باج افزار Shade

ابزار رمزگشایی بیت دیفندر برای باج افزار WannaRen

رمزگشایی باج افزار Paradise توسط بیت دیفندر

رمزگشایی باج افزار Fonix توسط بیت دیفندر

ابزار رمزگشایی بیت دیفندر برای باج افزار GoGoogle

اشتراک در خبرنامه

موفقیت آمیز!

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

مدیریت برنامه ها با کسپرسکی

آموزش قابلیت ضدسرقت کسپرسکی

آموزش پاک کردن کسپرسکی

درخواست آموزش سفارشی

درباره ی مرکز آموزش پادرا

صفحات ما را دنبال کنید

با ما در تماس باشید

آنتی ویروس / بیت دیفندر

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

نحوه عملکرد باج افزار MaMoCrypt

نحوه تولید ماسک و کلیدها

ابزار رمزگشایی بیت‌دیفندر

جدیدترین مقالات

اشتراک در خبرنامه

موفقیت آمیز!

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

خرید لایسنس اوریجینال محصولات بیت دیفندربا20 درصد تخفیف با کد تخفیف padralearning