ابزار رمزگشایی بیتدیفندر برای قربانیان باجافزار MaMoCrypt
MaMoCrypt نسخهای از باجافزار MZRevenge است .که به زبان Dephi نوشته شده و با mpress بسته بندی شده است.
در این مقاله نحوه استفاده از ابزار رمزگشایی بیت دیفندر را برای باجافزار MaMoCrypt به شما آموزش می دهیم.
اگر نمی خواهید تجزیه و تحلیل فنی را انجام دهید. می توانید با دانلود ابزار زیر، مستقیماً به رمزگشایی بروید.
نحوه عملکرد باج افزار MaMoCrypt
- این باجافزار اقدام به حذف نسخه های موسوم به Shadow Volumes و غیرفعالسازی دیواره آتش و سازوکار UAC بر روی دستگاه میکند.
- با استفاده از ژنراتور تصادفی Delphi و یک DWORD بر اساس زمان (با استفاده از QueryPerformanceCounter یا GetTickCount) ، دو بافر که در ابتدای آن MZRKEYPUBLIC یا MZRKEYPRIVATE درج شده است ایجاد می کند.
- با استفاده از این کلید ها و یک قالب (Mask) دو کلید برای هر فایل ایجاد می کند .که در زمان رمزگذاری فایل ها از آن استفاده کرده است. محتوا ابتدا با استفاده از الگوریتم AES 128 CBC رمزگذاری می شود. و مجدد با استفاده از Twofish 128 NOFB رمزگذاری مجدد می شود. همه فایل های رمزگذاری شده و در نهایت به آن پسوند MZ173801 را الصاق میکند.
- بعد از رمزگذاری بد افزار به تمام پوشه های رمزگذاری شده می رود .و یک فایل متنی در خصوص باج درخواست شده (ransome note) را قرار می دهد. این فایل شامل دو کلید MZR نیز هست.
نحوه تولید ماسک و کلیدها
IV برای الگوریتم AES CBC با استفاده از AES 128 ECB بر روی یک بافر ۱۶ بایت که با مقدار 0XFF مقداردهی شده اند، تولید شده است. شبیه به IV برای TWOFISH NOFB نیز برای TWOFISH 128 ECB بر روی یک بافر ۱۶ بایتی با مقدار 0xFF استفاده شده است. ماسک تولید شده نیز به صورت زیر دائما در حال تولید است.
از آنجایی که ماسک تولید شده از offsetی که به طور افزایشی بر روی هر فایل، بهره برده است. زمان رمزگشایی ممکن است بر مبنای تعداد فایل ها در فولدرهای رمزگذاری شده، طولانی شود. همچنین لازم به ذکر است که این باج افزار فقط فایلهایی با پسوند های زیر را رمزگذاری می کند.
ابزار رمزگشایی بیتدیفندر
1- رمزگشای زیر را دانلود کنید. و آن را در مکان دلخواه از رایانه خود ذخیره کنید.
5- دکمه Start Tool را فشار دهید. و اجازه دهید رمزگشا کار را به پایان برساند. پرونده های شما اکنون باید رمزگشایی شوند. اگر گزینه پشتیبان گیری را تیک بزنید. هر دو پرونده رمزگذاری شده و رمزگشایی شده را مشاهده خواهید کرد. همچنین می توانید log file را که توصیف فرآیند رمزگشایی است در پوشه %temp%\BDRemovalTool پیدا کنید.
0 Comments