在 2022 年 1 月 25 日 ,一名遭受勒索软体攻击的受害者联系我们寻求帮助。被加密的档案扩展名和赎金通知显示该攻击与
TargetCompany 勒索软体 有关(与 Target 商店无关),在特定情况下可以解密。
TargetCompany 勒索软体的运作方式
当执行该勒索软体时,它会执行一些操作以促进其恶意行为:
- 为其进程分配
SeTakeOwnershipPrivilege和SeDebugPrivilege - 删除对
vssadmin.exe、wmic.exe、wbadmin.exe、bcdedit.exe、powershell.exe、diskshadow.exe、net.exe和taskkil.exe等工具的特殊文件执行选项 使用以下命令删除所有驱动器上的阴影副本:
%windir%\sysnative\vssadmin.exe delete shadows /all /quiet重新配置启动选项:
bcdedit /set {current} bootstatuspolicy ignoreallfailures
bcdedit /set {current} recoveryenabled no终止一些可能持有重要档案的进程,例如数据库:
TargetCompany 勒索软体终止的进程列表
MsDtsSrvr.exe| ntdbsmgr.exe
ReportingServecesService.exe| oracle.exe
fdhost.exe| sqlserv.exe
fdlauncher.exe| sqlservr.exe
msmdsrv.exe| sqlwrite
mysql.exe|
完成上述准备后,该勒索软体会使用 GetLogicalDrives() Win32 API 获取系统中所有逻辑驱动器的掩码。每个驱动器通过
GetDriveType() 检查驱动器类型。如果该驱动器有效(固定、可移动或网络),则开始对该驱动器进行加密。首先,给每个驱动器填充赎金通知文件(名为
RECOVERY INFORMATION.txt)。当这一任务完成后,实际的加密将开始。
排除项目
为了保持感染的 PC 可用,TargetCompany 避免加密某些文件夹和文件类型:
TargetCompany 勒索软体避开的文件夹列表
msocache| boot| Microsoft Security Client| Microsoft MPI
$windows.~ws| $windows.~bt| Internet Explorer| Windows Kits
system volume information| mozilla| Reference| Microsoft.NET
intel| boot| Assemblies| Windows Mail
appdata| windows.old| Windows Defender| Microsoft Security Client
perflogs| Windows| Microsoft ASP.NET| Package Store
programdata
google
application data| WindowsPowerShell| Core Runtime| Microsoft Analysis Services
tor browser| Windows NT| Package| Windows Portable Devices
| Windows| Store| Windows Photo Viewer
| Common Files| Microsoft Help Viewer| Windows Sidebar
TargetCompany 勒索软体避开的文件类型列表
.386| .cpl| .exe| .key| .msstyles| .rtp
.adv| .cur| .hlp| .lnk| .msu| .scr
.ani| .deskthemepack| .hta| .lock| .nls| .shs
.bat| .diagcfg| .icl| .mod| .nomedia| .spl
.cab| .diagpkg| .icns| .mpa| .ocx| .sys
.cmd| .diangcab| .ico| .msc| .prf| .theme
.com| .dll| .ics| .msi| .ps1| .themepack
| .drv| .idx| .msp| .rom| .wpx
该勒索软体为每个文件生成一个加密密钥(0x28 字节)。此密钥被分为 Chacha20 加密密钥(0x20 字节)和
n-once(0x08)字节。加密后,该密钥通过
和 AES-128 的组合进行保护,并附加到文件的尾部。如下图所示,红色标记的部分显示了在文件数据加密后保存到文件尾部的值:
附加到每个加密文件结尾的文件尾的确切结构,显示为 C 风格结构:
每个包含加密文件的文件夹都包含赎金通知文件。赎金通知的副本也保存在 c:\HOW TO RECOVER !!.TXT 中。
文件中提到的个人 ID 是存储在每个加密文件中的 personal_id 的前六个字节。
如何使用 Avast 解密器恢复文件
要解密您的文件,请遵循以下步骤:
- 下载免费的 Avast 解密器。选择与您的 Windows 安装相符的版本。64 位版本的速度要快得多,并且当今大多数 Windows 安装都是 64 位。
- 如果您拥有 64 位 Windows,请选择 。
- 如果您拥有 32 位 Windows,请选择 。
- 直接运行可执行文件。它以向导的形式启动,指导您配置解密过程。
在初始页面,您可以查看许可信息,如果您想的话,但您只需单击“下一步”。
在下一页,选择您希望进行扫描和解密的文件位置列表。默认情况下,包含所有本地驱动器的列表:
在第三页,您需要输入被 TargetCompany 勒索软体加密的文件名。如果您之前运行解密器时创建了加密密码,您可以选择“我知道解密文件的密码”选项:
下一页是密码破解过程。当您准备开始该过程时,单击“开始”。在密码破解过程中,您所有可用的处理器核心将花费大部分计算能力来寻找解密密码。破解过程可能需要很长时间,长达数小时。解密器定期保存进度,如果您中断并稍后重新启动解密器,它会提供恢复先前开始的破解过程的选项。每台 PC 只需进行一次密码破解 – 不需要对每个文件重复执行。
当找到密码后,您可以通过单击“下一步”继续进行您 PC 上文件的解密。
在最后的向导页面,您可以选择是否希望备份加密文件。如果在解密过程中发生任何错误,这些备份可能会有所帮助。该选项默认是启用的,我们建议您保留。单击“解密”后,解密过程开始。让解密器运行,并等待直到它完成。
IOCs
SHA256| 文件扩展名
—|—
|
.mallox
|
.exploit
|
.architek
|
.brg
标签:、、、、
分享:X Facebook
