ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

}

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

MaMoCrypt نسخه‌ای از باج‌افزار MZRevenge است .که به زبان Dephi نوشته شده و با mpress بسته بندی شده است.

در این مقاله نحوه استفاده از ابزار رمزگشایی بیت دیفندر را برای باج‌افزار MaMoCrypt  به شما آموزش می دهیم.

اگر نمی خواهید تجزیه و تحلیل فنی را انجام دهید. می توانید با دانلود ابزار زیر، مستقیماً به رمزگشایی بروید.

نحوه عملکرد باج افزار MaMoCrypt

  • این باج‌افزار اقدام به حذف نسخه های موسوم به Shadow Volumes و غیرفعالسازی دیواره آتش و سازوکار UAC بر روی دستگاه می‌کند.
  • با استفاده از ژنراتور تصادفی Delphi و یک DWORD بر اساس زمان (با استفاده از QueryPerformanceCounter یا GetTickCount) ، دو بافر که در ابتدای آن MZRKEYPUBLIC یا MZRKEYPRIVATE درج شده است ایجاد می کند.
  • با استفاده از این کلید ها و یک قالب (Mask) دو کلید برای هر فایل ایجاد می کند .که در زمان رمزگذاری فایل ها از آن استفاده کرده است. محتوا ابتدا با استفاده از الگوریتم AES 128 CBC رمزگذاری می شود. و مجدد با استفاده از Twofish 128 NOFB رمزگذاری مجدد می شود. همه فایل های رمزگذاری شده و در نهایت به آن پسوند MZ173801 را الصاق می‌کند.
  • بعد از رمزگذاری بد افزار به تمام پوشه های رمزگذاری شده می رود .و یک فایل متنی در خصوص باج درخواست شده (ransome note) را قرار می دهد. این فایل شامل دو کلید MZR نیز هست.
نکته : اگر چه که کلیدهای MZR تغییر نمی کنند. ولی Mask استفاده شده به صورت دائم درحال تغییر است. این تغییر با استفاده از ترکیب الگوریتم های SHA1، SHA256 و برخی محاسبات سفارشی شده، انجام می شود. کلیدهای AES و TWOFISH با استفاده از SHA512  16 بار برای هر کلید و XOR کردن بایت ها، با استفاده از نتیجه به عنوان n مین بایت کلید، محاسبه می شوند.

نحوه تولید ماسک و کلیدها

IV برای الگوریتم AES CBC با استفاده از AES 128  ECB  بر روی یک بافر ۱۶ بایت که با مقدار 0XFF مقداردهی شده اند، تولید شده است. شبیه به IV برای TWOFISH NOFB نیز برای TWOFISH 128 ECB بر روی یک بافر ۱۶ بایتی با مقدار  0xFF استفاده شده است. ماسک تولید شده نیز به صورت زیر دائما در حال تولید است.

به دلیل وجود باگی در پیکربندی آن، اعمال فرایند رمزگذاری MaMoCrypt بر روی فایل‌های بزرگ‌تر از ۴ گیگابایت موجب خرابی دائمی آنها می‌شود.
این باج‌افزار نه همه فایل‌ها که صرفا فایل‌های ذخیره شده در مسیرهای زیر را رمزگذاری می‌کند.

از آنجایی که ماسک تولید شده از offsetی که به طور افزایشی بر روی هر فایل، بهره برده است. زمان رمزگشایی ممکن است بر مبنای تعداد فایل ها در فولدرهای رمزگذاری شده،‌ طولانی شود.  همچنین لازم به ذکر است که این باج افزار فقط فایل‌هایی با پسوند های زیر را رمزگذاری می کند.

پس از پایان فرایند رمزگذاری، اطلاعیه باج‌گیری (Ransom Note) با نام How Do I Recover My Files (Readme).txt در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمز شده است کپی می‌شود.
MaMoCrypt Ransomware

ابزار رمزگشایی بیت‌دیفندر

1- رمزگشای زیر را دانلود کنید. و آن را در مکان دلخواه از رایانه خود ذخیره کنید.

2- با دوبار کلیک بر روی پرونده exe ابزار را اجرا کنید.وبر روی Yes در اعلان UAC کلیک کنید.
MaMoCrypt Ransomware
3- توافق نامه لایسنس را بخوانید و بپذیرید.
MaMoCrypt Ransomware
4- به دلیل برخی مشخصات این خانواده باج افزار، این ابزار سیستم را به ترتیب خاصی اسکن می کند تا اینکه به کاربر اجازه دهد پوشه ای را با داده های رمزگذاری شده انتخاب کند. ما اکیداً توصیه می کنیم که کاربران گزینه Backup files را انتخاب کنند.

5- دکمه Start Tool را فشار دهید. و اجازه دهید رمزگشا کار را به پایان برساند. پرونده های شما اکنون باید رمزگشایی شوند. اگر گزینه پشتیبان گیری را تیک بزنید. هر دو پرونده رمزگذاری شده و رمزگشایی شده را مشاهده خواهید کرد. همچنین می توانید log file  را که توصیف فرآیند رمزگشایی است در پوشه  %temp%\BDRemovalTool پیدا کنید.

MaMoCrypt Ransomware

جدیدترین مقالات

فعالسازی HDR در ویندوز11

فعالسازی HDR در ویندوز11

فعالسازی HDR در ویندوز11 ویندوز11 هم مانند ویندوز10 از خروجی HDR پشتیبانی می کند.برخلاف ویندوز10، HDR در ویندوز11 بهتر...

read more
ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

 

برای استفاده از امکانات کامل آنتی ویروس بیت دیفندر نیاز به استفاده از لایسنس اورجینال دارید . برای خرید لایسنس اورجینال محصولات بیت دیفندر از لینک زیر استفاده کنید و با زدن کد تخفیفی padralearning از تخفیف ویژه و اختصاصی کاربران مرکز آموزش پادرا  بهره مند شوید .

 

نظرات کاربران

0 Comments

Submit a Comment

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک × چهار =

مقالات مرتبط

استفاده از ویژگی ضد سرقت بیت دیفندر در ویندوز

استفاده از ویژگی ضد سرقت بیت دیفندر در ویندوز

استفاده از ویژگی ضد سرقت بیت دیفندر در ویندوز در این مقاله ، ما قصد داریم در مورد اینکه Bitdefender Anti-Theft چیست . چه می کند و چگونه از آن در لپ تاپ های دارای ویندوز استفاده کنیم، صحبت کنیم. اگر به Bitdefender Anti-Theft برای دستگاه های Android علاقه دارید میتوانید...

ویژگی ضد سرقت بیت دیفندر در اندروید

ویژگی ضد سرقت بیت دیفندر در اندروید

نحوه استفاده از ویژگی ضد سرقت بیت دیفندر در دستگاه های Android با استفاده از Bitdefender Anti-Theft در Bitdefender Mobile Security ، می توانید در صورت از دست دادن یا سرقت،  از راه دور ، مکان یابی ، قفل ، پاک کردن یا ارسال پیام به دستگاه خود را انجام دهید. علاوه بر این...

حفاظت در زمان واقعی در بیت دیفندر

حفاظت در زمان واقعی در بیت دیفندر

حفاظت در زمان واقعی در بیت دیفندر چیست؟ Bitdefender Shield ، ویژگی حفاظت در زمان واقعی در بیت دیفندر (real-time protection) است. این ویژگی با اسکن کلیه ی  دسترسی ها به فایل ها و پیام های ایمیل ، در برابر طیف گسترده ای از تهدیدات بدافزار،  محافظتی مداوم را ارائه می...

پیشنهاد ویژه مرکز آموزش پادرا

خرید لایسنس اوریجینال محصولات بیت دیفندربا20 درصد تخفیف با کد تخفیف padralearning