

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

}

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

MaMoCrypt نسخه‌ای از باج‌افزار MZRevenge است .که به زبان Dephi نوشته شده و با mpress بسته بندی شده است.

در این مقاله نحوه استفاده از ابزار رمزگشایی بیت دیفندر را برای باج‌افزار MaMoCrypt به شما آموزش می دهیم.

اگر نمی خواهید تجزیه و تحلیل فنی را انجام دهید. می توانید با دانلود ابزار زیر، مستقیماً به رمزگشایی بروید.

دانلود

نحوه عملکرد باج افزار MaMoCrypt

این باج‌افزار اقدام به حذف نسخه های موسوم به Shadow Volumes و غیرفعالسازی دیواره آتش و سازوکار UAC بر روی دستگاه می‌کند.
با استفاده از ژنراتور تصادفی Delphi و یک DWORD بر اساس زمان (با استفاده از QueryPerformanceCounter یا GetTickCount) ، دو بافر که در ابتدای آن MZRKEYPUBLIC یا MZRKEYPRIVATE درج شده است ایجاد می کند.
با استفاده از این کلید ها و یک قالب (Mask) دو کلید برای هر فایل ایجاد می کند .که در زمان رمزگذاری فایل ها از آن استفاده کرده است. محتوا ابتدا با استفاده از الگوریتم AES 128 CBC رمزگذاری می شود. و مجدد با استفاده از Twofish 128 NOFB رمزگذاری مجدد می شود. همه فایل های رمزگذاری شده و در نهایت به آن پسوند MZ173801 را الصاق می‌کند.
بعد از رمزگذاری بد افزار به تمام پوشه های رمزگذاری شده می رود .و یک فایل متنی در خصوص باج درخواست شده (ransome note) را قرار می دهد. این فایل شامل دو کلید MZR نیز هست.

نکته : اگر چه که کلیدهای MZR تغییر نمی کنند. ولی Mask استفاده شده به صورت دائم درحال تغییر است. این تغییر با استفاده از ترکیب الگوریتم های SHA1، SHA256 و برخی محاسبات سفارشی شده، انجام می شود. کلیدهای AES و TWOFISH با استفاده از SHA512 16 بار برای هر کلید و XOR کردن بایت ها، با استفاده از نتیجه به عنوان n مین بایت کلید، محاسبه می شوند.

نحوه تولید ماسک و کلیدها

*(int*)mask_in = offset;
 for (int i = 0; i < 0x800; ++i) {
 
     SHA1(mask_in, 0x84, mask_out);
     *(int*)mask_in = i + 1 + offset;
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
     mask[i] = mask_out[1];
 }
 offset += 0x800;
 aes_key = generate_key(mask, mzrkey_private.c_str(), 0x800, mzrkey_private.size());
 
 for (int i = 0; i < 0x200; ++i) {
 
 SHA1(mask_in, 0x84, mask_out);
     *(int*)mask_in = i + 1 + offset;
     *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];
     mask[i] = mask_out[1];
 }
 offset += 0x200;
 twofish_key = generate_key(mask, mzrkey_public.c_str(), 0x200, mzrkey_public.size());
generate_key:
 int mzrkey_size_bswap = _byteswap_ulong(mzrkey_len);
 int mask_size_bswap = _byteswap_ulong(mask_len);
 for (int i = 0; i < key_SIZE; ++i) {
   ((int*)in)[0] = _byteswap_ulong(i);
   for (int j = 0; j < i; ++j)
      in[j + 4] = key[j];
   *((int*)(in + 4 + i)) = _byteswap_ulong(1);
   *((int*)(in + 8 + i)) = mask_size_bswap;
   memcpy(in + 3 * sizeof(int) + i, mask, mask_len);
   memcpy(in + 3 * sizeof(int) + mask_len + i, &mzrkey_size_bswap, 4);
   memcpy(in + 3 * sizeof(int) + mask_len + 4 + i, mzrkey, mzrkey_len);
   SHA512(in, mask_len + mzrkey_len + 4 * sizeof(int) + i, out);
   for (int j = 0; j < SHA512_DIGEST_LENGTH; ++j)
       key[i] ^= out[j];
 }

IV برای الگوریتم AES CBC با استفاده از AES 128 ECB بر روی یک بافر ۱۶ بایت که با مقدار 0XFF مقداردهی شده اند، تولید شده است. شبیه به IV برای TWOFISH NOFB نیز برای TWOFISH 128 ECB بر روی یک بافر ۱۶ بایتی با مقدار 0xFF استفاده شده است. ماسک تولید شده نیز به صورت زیر دائما در حال تولید است.

به دلیل وجود باگی در پیکربندی آن، اعمال فرایند رمزگذاری MaMoCrypt بر روی فایل‌های بزرگ‌تر از ۴ گیگابایت موجب خرابی دائمی آنها می‌شود.

این باج‌افزار نه همه فایل‌ها که صرفا فایل‌های ذخیره شده در مسیرهای زیر را رمزگذاری می‌کند.

از آنجایی که ماسک تولید شده از offsetی که به طور افزایشی بر روی هر فایل، بهره برده است. زمان رمزگشایی ممکن است بر مبنای تعداد فایل ها در فولدرهای رمزگذاری شده،‌ طولانی شود. همچنین لازم به ذکر است که این باج افزار فقط فایل‌هایی با پسوند های زیر را رمزگذاری می کند.

.cs;.lnk;.mp3;.jpg;.jpeg;.raw;.tif;.gif;.png;.bmp;.3dm;.max;.accdb;.db;.dbf;.mdb;.pdb;.sql;.dwg;.dxf;.c;.cpp;.cs;.h;.php;.asp;.rb;.java;.jar;.class;.py;.js;.aaf;.aep;.aepx;

.plb;.prel;.prproj;.aet;.ppj;.psd;.indd;.indl;.indt;.indb;.inx;.idml;.pmd;.xqx;.xqx;.ai;.eps;.ps;.svg;.swf;.fla;.as3;.as;.txt;.doc;.dot;.docx;.docm;.dotx;.dotm;.docb;.rtf;.wpd;

.wps;.msg;.pdf;.xls;.xlt;.xlm;.xlsx;.xlsm;.xltx;.xltm;.xlsb;.xla;.xlam;.xll;.xlw;.ppt;.pot;.pps;.pptx;.pptm;.potx;.potm;.ppam;.ppsx;.ppsm;.sldx;.sldm;.wav;.aif;.iff;.m3u;.m4u;

.mid;.mpa;.wma;.ra;.avi;.mov;.mp4;.3gp;.mpeg;.3g2;.asf;.asx;.flv;.mpg;.wmv;.vob;.m3u8;.mkv;.dat;.csv;.efx;.sdf;.vcf;.xml;.ses;.rar;.zip;.7zip;.dtb;.bat;.apk;.vb;.sln;.csproj;

.vbproj;.hpp;.asm;.lua;.ibank;.design;.aspx;.bak;.obj;.sqlite;.sqlite3;.sqlitedb;.back;.backup;.one;.pst;.url;.onetoc2;.m4a;.m4v;.ogg;.hwp;.HWP;.OGG;.M4V;.M4A;.ONETOC2;

.URL;.PST;.ONE;.BACKUP;.BACK;.SQLITEDB;.SQLITE3;.SQLITE;.OBJ;.BAK;.ASPX;.DESIGN;.IBANK;.LUA;.ASM;.HPP;.VBPROJ;.CSPROJ;.SLN;.CS;.VB;.LNK;.JPG;.JPEG;.RAW;.TIF;.GIF;

.PNG;.BMP;.3DM;.MAX;.ACCDB;.DB;.DBF;.MDB;.PDB;.SQL;.DWG;.DXF;.C;.CPP;.CS;.H;.PHP;.ASP;.RB;.JAVA;.JAR;.CLASS;.PY;.JS;.AAF;.AEP;.AEPX;.PLB;.PREL;.PRPROJ;.AET;.PPJ;.PSD;

.INDD;.INDL;.INDT;.INDB;.INX;.IDML;.PMD;.XQX;.XQX;.AI;.EPS;.PS;.SVG;.SWF;.FLA;.AS3;.AS;.TXT;.DOC;.DOT;.DOCX;.DOCM;.DOTX;.DOTM;.DOCB;.RTF;.WPD;.WPS;.MSG;.PDF;.XLS;

.XLT;.XLM;.XLSX;.XLSM;.XLTX;.XLTM;.XLSB;.XLA;.XLAM;.XLL;.XLW;.PPT;.POT;.PPS;.PPTX;.PPTM;.POTX;.POTM;.PPAM;.PPSX;.PPSM;.SLDX;.SLDM;.WAV;.MP3;.AIF;.IFF;.M3U;.M4U;.MID;

.MPA;.WMA;.RA;.AVI;.MOV;.MP4;.3GP;.MPEG;.3G2;.ASF;.ASX;.FLV;.MPG;.WMV;.VOB;.M3U8;.MKV;.DAT;.CSV;.EFX;.SDF;.VCF;.XML;.SES;.RAR;.ZIP;.7ZIP;.DTB;.BAT;.APK;

پس از پایان فرایند رمزگذاری، اطلاعیه باج‌گیری (Ransom Note) با نام How Do I Recover My Files (Readme).txt در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمز شده است کپی می‌شود.

ابزار رمزگشایی بیت‌دیفندر

1- رمزگشای زیر را دانلود کنید. و آن را در مکان دلخواه از رایانه خود ذخیره کنید.

دانلود

2- با دوبار کلیک بر روی پرونده exe ابزار را اجرا کنید.وبر روی Yes در اعلان UAC کلیک کنید.

3- توافق نامه لایسنس را بخوانید و بپذیرید.

4- به دلیل برخی مشخصات این خانواده باج افزار، این ابزار سیستم را به ترتیب خاصی اسکن می کند تا اینکه به کاربر اجازه دهد پوشه ای را با داده های رمزگذاری شده انتخاب کند. ما اکیداً توصیه می کنیم که کاربران گزینه Backup files را انتخاب کنند.

5- دکمه Start Tool را فشار دهید. و اجازه دهید رمزگشا کار را به پایان برساند. پرونده های شما اکنون باید رمزگشایی شوند. اگر گزینه پشتیبان گیری را تیک بزنید. هر دو پرونده رمزگذاری شده و رمزگشایی شده را مشاهده خواهید کرد. همچنین می توانید log file را که توصیف فرآیند رمزگشایی است در پوشه %temp%\BDRemovalTool پیدا کنید.

← قبلی بعدی →

جدیدترین مقالات

روش بوت کردن ویندوز 11 در safe mode

روش بوت کردن ویندوز 11 در safe mode اگر در راه اندازی ویندوز 11 خود با مشکل مواجه هستید. ممکن است بوت کردن ویندوز 11...

نحوه بروزرسانی مایکروسافت تیمز

نحوه بروزرسانی مایکروسافت تیمز مهم است که به طور منظم مایکروسافت تیمز را بروز کنید تا بهترین تجربه ممکن را از آن به...

نحوه نصب و راه اندازی ویندوز 11 به صورت آفلاین

نحوه نصب و راه اندازی ویندوز 11 به صورت آفلاین ویندوز 11 شما را مجبور می‌کند در هنگام راه‌اندازی به سرویس‌های...

تبدیل تاریخ به روز هفته در اکسل

تبدیل تاریخ به روز هفته در اکسل آیا تاریخی در صفحه اکسل خود دارید که بخواهید آن را به روز هفته تبدیل کنید؟ اگر چنین...

نحوه فعال کردن دارک مود در اوت لوک

نحوه فعال کردن دارک مود در اوت لوک اگر از دیدن حالت روشن اوت لوک خود خسته شده اید. می توانید دارک مود را روشن کنید. در...

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

برای استفاده از امکانات کامل آنتی ویروس بیت دیفندر نیاز به استفاده از لایسنس اورجینال دارید . برای خرید لایسنس اورجینال محصولات بیت دیفندر از لینک زیر استفاده کنید و با زدن کد تخفیفی padralearning از تخفیف ویژه و اختصاصی کاربران مرکز آموزش پادرا بهره مند شوید .

خرید لایسنس محصولات اوریجینال بیت دیفندر

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

نصب بیت دیفندر روی دستگاه دیگر

نحوه نصب بیت دیفندر روی دستگاه دیگر آیا می خواهید Bitdefender را روی دستگاه دیگری نصب کنید؟ اگر دستگاه فعلی خود را ریست کرده اید. و اکنون می خواهید Bitdefender را دوباره در همان دستگاه نصب کنید. و یا دستگاه ها را عوض کرده اید و می خواهید از دستگاه های اضافی محافظت...

نحوه نصب Bitdefender Mobile Security برای iOS

نحوه نصب Bitdefender Mobile Security برای iOS این مقاله گام به گام نحوه نصب Bitdefender Mobile Security برای iOS را بر روی iPhone یا iPad شما راهنمایی می کند. Bitdefender Mobile Security برای iOS بر روی هر دستگاهی با iOS 11.2 یا بالاتر کار می کند. و برای فعال شدن نیاز...

نصب بیت دیفندر روی ویندوز

نحوه نصب بیت دیفندر روی ویندوز در این مقاله نحوه نصب بیت دیفندر روی ویندوز را بررسی می کنیم.قبل از ادامه نصب ، مطمئن شوید که رایانه شما الزامات سیستم را برآورده می کند. به حساب مرکزی Bitdefender خود وارد شوید. اگر حساب کاربری ندارید ، لطفاً ثبت نام کنید. قبل از نصب...

پیشنهاد ویژه مرکز آموزش پادرا

آنتی ویروس

آنتی ویروس / بیت دیفندر

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

ژوئن 23, 2021

نظرات 0

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

نحوه عملکرد باج افزار MaMoCrypt

نحوه تولید ماسک و کلیدها

ابزار رمزگشایی بیت‌دیفندر

جدیدترین مقالات

روش بوت کردن ویندوز 11 در safe mode

نحوه بروزرسانی مایکروسافت تیمز

نحوه نصب و راه اندازی ویندوز 11 به صورت آفلاین

تبدیل تاریخ به روز هفته در اکسل

نحوه فعال کردن دارک مود در اوت لوک

اشتراک در خبرنامه

موفقیت آمیز!

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

نصب بیت دیفندر روی دستگاه دیگر

نحوه نصب Bitdefender Mobile Security برای iOS

نصب بیت دیفندر روی ویندوز

درخواست آموزش سفارشی

درباره ی مرکز آموزش پادرا

صفحات ما را دنبال کنید

با ما در تماس باشید

آنتی ویروس / بیت دیفندر

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

ژوئن 23, 2021

ابزار رمزگشایی بیت‌دیفندر برای قربانیان باج‌افزار MaMoCrypt

نحوه عملکرد باج افزار MaMoCrypt

نحوه تولید ماسک و کلیدها

ابزار رمزگشایی بیت‌دیفندر

جدیدترین مقالات

اشتراک در خبرنامه

موفقیت آمیز!

ما را در صفحات مجازی دنبال کنید

پیشنهاد ویژه مرکز آموزش پادرا

نظرات کاربران

0 Comments

Submit a Comment لغو پاسخ

مقالات مرتبط

خرید لایسنس اوریجینال محصولات بیت دیفندربا20 درصد تخفیف با کد تخفیف padralearning