

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

}

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

MaMoCrypt نسخه‌ای از باج‌افزار MZRevenge است .که به زبان Dephi نوشته شده و با mpress بسته بندی شده است.

در این مقاله نحوه استفاده از ابزار رمزگشایی بیت دیفندر را برای باج‌افزار MaMoCrypt به شما آموزش می دهیم.

اگر نمی خواهید تجزیه و تحلیل فنی را انجام دهید. می توانید با دانلود ابزار زیر، مستقیماً به رمزگشایی بروید.

دانلود

نحوه عملکرد باج افزار MaMoCrypt

این باج‌افزار اقدام به حذف نسخه های موسوم به Shadow Volumes و غیرفعالسازی دیواره آتش و سازوکار UAC بر روی دستگاه می‌کند.
با استفاده از ژنراتور تصادفی Delphi و یک DWORD بر اساس زمان (با استفاده از QueryPerformanceCounter یا GetTickCount) ، دو بافر که در ابتدای آن MZRKEYPUBLIC یا MZRKEYPRIVATE درج شده است ایجاد می کند.
با استفاده از این کلید ها و یک قالب (Mask) دو کلید برای هر فایل ایجاد می کند .که در زمان رمزگذاری فایل ها از آن استفاده کرده است. محتوا ابتدا با استفاده از الگوریتم AES 128 CBC رمزگذاری می شود. و مجدد با استفاده از Twofish 128 NOFB رمزگذاری مجدد می شود. همه فایل های رمزگذاری شده و در نهایت به آن پسوند MZ173801 را الصاق می‌کند.
بعد از رمزگذاری بد افزار به تمام پوشه های رمزگذاری شده می رود .و یک فایل متنی در خصوص باج درخواست شده (ransome note) را قرار می دهد. این فایل شامل دو کلید MZR نیز هست.

نکته : اگر چه که کلیدهای MZR تغییر نمی کنند. ولی Mask استفاده شده به صورت دائم درحال تغییر است. این تغییر با استفاده از ترکیب الگوریتم های SHA1، SHA256 و برخی محاسبات سفارشی شده، انجام می شود. کلیدهای AES و TWOFISH با استفاده از SHA512 16 بار برای هر کلید و XOR کردن بایت ها، با استفاده از نتیجه به عنوان n مین بایت کلید، محاسبه می شوند.

نحوه تولید ماسک و کلیدها

*(int*)mask_in = offset;
 for (int i = 0; i < 0x800; ++i) {
 
     SHA1(mask_in, 0x84, mask_out);
     *(int*)mask_in = i + 1 + offset;
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
     mask[i] = mask_out[1];
 }
 offset += 0x800;
 aes_key = generate_key(mask, mzrkey_private.c_str(), 0x800, mzrkey_private.size());
 
 for (int i = 0; i < 0x200; ++i) {
 
 SHA1(mask_in, 0x84, mask_out);
     *(int*)mask_in = i + 1 + offset;
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
     mask[i] = mask_out[1];
 }
 offset += 0x200;
 twofish_key = generate_key(mask, mzrkey_public.c_str(), 0x200, mzrkey_public.size());
generate_key:
 int mzrkey_size_bswap = _byteswap_ulong(mzrkey_len);
 int mask_size_bswap = _byteswap_ulong(mask_len);
 for (int i = 0; i < key_SIZE; ++i) {
   ((int*)in)[0] = _byteswap_ulong(i);
   for (int j = 0; j < i; ++j)
      in[j + 4] = key[j];
   *((int*)(in + 4 + i)) = _byteswap_ulong(1);
   *((int*)(in + 8 + i)) = mask_size_bswap;
   memcpy(in + 3 * sizeof(int) + i, mask, mask_len);
   memcpy(in + 3 * sizeof(int) + mask_len + i, &mzrkey_size_bswap, 4);
   memcpy(in + 3 * sizeof(int) + mask_len + 4 + i, mzrkey, mzrkey_len);
   SHA512(in, mask_len + mzrkey_len + 4 * sizeof(int) + i, out);
   for (int j = 0; j < SHA512_DIGEST_LENGTH; ++j)
       key[i] ^= out[j];
 }

IV برای الگوریتم AES CBC با استفاده از AES 128 ECB بر روی یک بافر ۱۶ بایت که با مقدار 0XFF مقداردهی شده اند، تولید شده است. شبیه به IV برای TWOFISH NOFB نیز برای TWOFISH 128 ECB بر روی یک بافر ۱۶ بایتی با مقدار 0xFF استفاده شده است. ماسک تولید شده نیز به صورت زیر دائما در حال تولید است.

به دلیل وجود باگی در پیکربندی آن، اعمال فرایند رمزگذاری MaMoCrypt بر روی فایل‌های بزرگ‌تر از ۴ گیگابایت موجب خرابی دائمی آنها می‌شود.

این باج‌افزار نه همه فایل‌ها که صرفا فایل‌های ذخیره شده در مسیرهای زیر را رمزگذاری می‌کند.

از آنجایی که ماسک تولید شده از offsetی که به طور افزایشی بر روی هر فایل، بهره برده است. زمان رمزگشایی ممکن است بر مبنای تعداد فایل ها در فولدرهای رمزگذاری شده،‌ طولانی شود. همچنین لازم به ذکر است که این باج افزار فقط فایل‌هایی با پسوند های زیر را رمزگذاری می کند.

.cs;.lnk;.mp3;.jpg;.jpeg;.raw;.tif;.gif;.png;.bmp;.3dm;.max;.accdb;.db;.dbf;.mdb;.pdb;.sql;.dwg;.dxf;.c;.cpp;.cs;.h;.php;.asp;.rb;.java;.jar;.class;.py;.js;.aaf;.aep;.aepx;

.plb;.prel;.prproj;.aet;.ppj;.psd;.indd;.indl;.indt;.indb;.inx;.idml;.pmd;.xqx;.xqx;.ai;.eps;.ps;.svg;.swf;.fla;.as3;.as;.txt;.doc;.dot;.docx;.docm;.dotx;.dotm;.docb;.rtf;.wpd;

.wps;.msg;.pdf;.xls;.xlt;.xlm;.xlsx;.xlsm;.xltx;.xltm;.xlsb;.xla;.xlam;.xll;.xlw;.ppt;.pot;.pps;.pptx;.pptm;.potx;.potm;.ppam;.ppsx;.ppsm;.sldx;.sldm;.wav;.aif;.iff;.m3u;.m4u;

.mid;.mpa;.wma;.ra;.avi;.mov;.mp4;.3gp;.mpeg;.3g2;.asf;.asx;.flv;.mpg;.wmv;.vob;.m3u8;.mkv;.dat;.csv;.efx;.sdf;.vcf;.xml;.ses;.rar;.zip;.7zip;.dtb;.bat;.apk;.vb;.sln;.csproj;

.vbproj;.hpp;.asm;.lua;.ibank;.design;.aspx;.bak;.obj;.sqlite;.sqlite3;.sqlitedb;.back;.backup;.one;.pst;.url;.onetoc2;.m4a;.m4v;.ogg;.hwp;.HWP;.OGG;.M4V;.M4A;.ONETOC2;

.URL;.PST;.ONE;.BACKUP;.BACK;.SQLITEDB;.SQLITE3;.SQLITE;.OBJ;.BAK;.ASPX;.DESIGN;.IBANK;.LUA;.ASM;.HPP;.VBPROJ;.CSPROJ;.SLN;.CS;.VB;.LNK;.JPG;.JPEG;.RAW;.TIF;.GIF;

.PNG;.BMP;.3DM;.MAX;.ACCDB;.DB;.DBF;.MDB;.PDB;.SQL;.DWG;.DXF;.C;.CPP;.CS;.H;.PHP;.ASP;.RB;.JAVA;.JAR;.CLASS;.PY;.JS;.AAF;.AEP;.AEPX;.PLB;.PREL;.PRPROJ;.AET;.PPJ;.PSD;

.INDD;.INDL;.INDT;.INDB;.INX;.IDML;.PMD;.XQX;.XQX;.AI;.EPS;.PS;.SVG;.SWF;.FLA;.AS3;.AS;.TXT;.DOC;.DOT;.DOCX;.DOCM;.DOTX;.DOTM;.DOCB;.RTF;.WPD;.WPS;.MSG;.PDF;.XLS;

.XLT;.XLM;.XLSX;.XLSM;.XLTX;.XLTM;.XLSB;.XLA;.XLAM;.XLL;.XLW;.PPT;.POT;.PPS;.PPTX;.PPTM;.POTX;.POTM;.PPAM;.PPSX;.PPSM;.SLDX;.SLDM;.WAV;.MP3;.AIF;.IFF;.M3U;.M4U;.MID;

.MPA;.WMA;.RA;.AVI;.MOV;.MP4;.3GP;.MPEG;.3G2;.ASF;.ASX;.FLV;.MPG;.WMV;.VOB;.M3U8;.MKV;.DAT;.CSV;.EFX;.SDF;.VCF;.XML;.SES;.RAR;.ZIP;.7ZIP;.DTB;.BAT;.APK;

پس از پایان فرایند رمزگذاری، اطلاعیه باج‌گیری (Ransom Note) با نام How Do I Recover My Files (Readme).txt در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمز شده است کپی می‌شود.

ابزار رمزگشایی بیت‌دیفندر

1- رمزگشای زیر را دانلود کنید. و آن را در مکان دلخواه از رایانه خود ذخیره کنید.

دانلود

2- با دوبار کلیک بر روی پرونده exe ابزار را اجرا کنید.وبر روی Yes در اعلان UAC کلیک کنید.

3- توافق نامه لایسنس را بخوانید و بپذیرید.

4- به دلیل برخی مشخصات این خانواده باج افزار، این ابزار سیستم را به ترتیب خاصی اسکن می کند تا اینکه به کاربر اجازه دهد پوشه ای را با داده های رمزگذاری شده انتخاب کند. ما اکیداً توصیه می کنیم که کاربران گزینه Backup files را انتخاب کنند.

5- دکمه Start Tool را فشار دهید. و اجازه دهید رمزگشا کار را به پایان برساند. پرونده های شما اکنون باید رمزگشایی شوند. اگر گزینه پشتیبان گیری را تیک بزنید. هر دو پرونده رمزگذاری شده و رمزگشایی شده را مشاهده خواهید کرد. همچنین می توانید log file را که توصیف فرآیند رمزگشایی است در پوشه %temp%\BDRemovalTool پیدا کنید.

← قبلی بعدی →

جدیدترین مقالات

فعال کردن دارک مود در گوگل مپس اندروید

فعال کردن دارک مود در گوگل مپس اندروید آیا رابط کاربری تاریک را به روشن ترجیح می دهید؟شما می توانید با فعال کردن دارک...

پیش نمایش پیام های صوتی واتساپ قبل از ارسال

پیش نمایش پیام های صوتی واتساپ قبل از ارسال واتساپ دارای ویژگی های عالی بسیاری است که برخی از آنها به راحتی یافت می...

حذف هایپرلینک ها در اکسل

نحوه حذف هایپرلینک ها در اکسل آیا می خواهید لینک های قابل کلیک را از صفحات اکسل خود حذف کنید؟. ما در این آموزش نحوه...

نحوه تغییر رنگ صفحه در ورد

نحوه تغییر رنگ صفحه در ورد به طور پیش فرض، Microsoft Word از رنگ سفید به عنوان رنگ صفحه پیش فرض برای همه اسناد استفاده...

تنظیم ایمیل پیش فرض در ویندوز 11

تنظیم ایمیل پیش فرض در ویندوز 11 اگر روی لینک ایمیل در ویندوز 11 کلیک کنید. و کلاینت ایمیل اشتباهی ظاهر شود. می توانید...

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

برای استفاده از امکانات کامل آنتی ویروس بیت دیفندر نیاز به استفاده از لایسنس اورجینال دارید . برای خرید لایسنس اورجینال محصولات بیت دیفندر از لینک زیر استفاده کنید و با زدن کد تخفیفی padralearning از تخفیف ویژه و اختصاصی کاربران مرکز آموزش پادرا بهره مند شوید .

خرید لایسنس محصولات اوریجینال بیت دیفندر

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

محافظت از سیستم در برابر حملات باج افزار

باج افزار چیست؟ باج افزار نوعی بدافزار است که رایانه را آلوده کرده و قفل می کند تا زمانی که کاربر هزینه ای را برای بازگرداندن دسترسی به داده ها پرداخت کند. این بدافزار می تواند از دو روش چند شکلی سمت سرور ( Server-side polymorphism ) و زیرساخت های تحویل صنعتی...

نحوه پاک کردن حافظه پنهان و کوکی ها

نحوه پاک کردن حافظه پنهان و کوکی ها در Firefox در ویندوز در این مقاله نحوه پاک کردن حافظه پنهان و کوکی ها را در دستگاه های مختلف مشاهده می کنیم. دستورالعمل های ارائه شده در زیر به شما کمک می کند تا حافظه پنهان و کوکی ها را در Mozilla Firefox پاک کنید تا با مشکلات...

کوکی چیست؟آیا کوکی ها امن هستند؟

کوکی چیست؟آیا کوکی ها امن هستند؟ بسیاری از مردم به کوکی ها علاقه مند هستند . برای همین است که هر راه حل امنیتی به منظور محافظت از دستگاه ، منطقه کوکی ها را پوشش می دهد. آیا می توانند به رایانه آسیب برسانند؟ کوکی ها و نرم افزارهای جاسوسی چگونه به هم متصل می شوند؟ این...

پیشنهاد ویژه مرکز آموزش پادرا

آنتی ویروس

آنتی ویروس / بیت دیفندر

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

ژوئن 23, 2021

نظرات 0

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

نحوه عملکرد باج افزار MaMoCrypt

نحوه تولید ماسک و کلیدها

ابزار رمزگشایی بیت‌دیفندر

جدیدترین مقالات

فعال کردن دارک مود در گوگل مپس اندروید

پیش نمایش پیام های صوتی واتساپ قبل از ارسال

حذف هایپرلینک ها در اکسل

نحوه تغییر رنگ صفحه در ورد

تنظیم ایمیل پیش فرض در ویندوز 11

اشتراک در خبرنامه

موفقیت آمیز!

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

محافظت از سیستم در برابر حملات باج افزار

نحوه پاک کردن حافظه پنهان و کوکی ها

درخواست آموزش سفارشی

درباره ی مرکز آموزش پادرا

صفحات ما را دنبال کنید

با ما در تماس باشید

آنتی ویروس / بیت دیفندر

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

نحوه عملکرد باج افزار MaMoCrypt

نحوه تولید ماسک و کلیدها

ابزار رمزگشایی بیت‌دیفندر

جدیدترین مقالات

اشتراک در خبرنامه

موفقیت آمیز!

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

خرید لایسنس اوریجینال محصولات بیت دیفندربا20 درصد تخفیف با کد تخفیف padralearning