在2021年10月17日,
AtomSilo
勒索病毒的一个弱点,并表示可以在不支付赎金的情况下解密文件。稍后,他还
。我们为
AtomSilo 和 LockFile 变体准备了自己的 。
解密工具的限制
在解密过程中,Avast AtomSilo 解密工具
依赖于已知的文件格式,以验证文件是否成功解密。因此,某些文件可能无法解密,这包括拥有专有或未知格式的文件,或者根本没有格式的文件,例如文本文件。
AtomSilo 和 LockFile 的工作原理
AtomSilo 和 LockFile 勒索病毒变体之间非常相似,除了一些小差异,以下描述涵盖了它们的共同点。
AtomSilo 勒索病毒会使用固定的驱动器列表搜索本地驱动器,而 LockFile 则调用 GetLogicalDriveStringsA()
并处理所有固定驱动器。
一个单独的执行绪会为列表中的每个驱动器创建。这个执行绪会递归搜索给定的逻辑驱动器,并加密找到的文件。为了防止完全瘫痪受影响的 PC,AtomSilo
拥有一个排除的资料夹、文件名称和文件类型列表,这些内容不会被加密,列表如下:
排除的资料夹
Boot| Windows| Windows.old| Tor Browser
Internet Explorer| Google| Opera| Opera Software
Mozilla| Mozilla Firefox| $Recycle.Bin| ProgramData
All Users| | |
排除的文件
autorun.inf| index.html | boot.ini| bootfont.bin
bootsect.bak| bootmgr| bootmgr.efi| bootmgfw.efi
desktop.ini| iconcache.db| ntldr| ntuser.dat
ntuser.dat.log| ntuser.ini| thumbs.db| #recycle
排除的扩展名
.hta| .html| .exe| .dll| .cpl| .ini
.cab| .cur| .cpl| .drv| .hlp| .icl
.icns| .ico| .idx| .sys| .spl| .ocx
LockFile 会避开包含以下子字符串的文件和资料夹:
排除的子字符串
Windows| NTUSER| LOCKFILE| .lockfile
此外,还有一个包含 788 个不会被加密的文件类型(扩展名)的列表。这些文件类型包括 .exe,还有 .jpg、.bmp 和
.gif。您可能会注意到其中一些被重复提及。
这种勒索病毒为每个受害者生成 RSA-4096 会话密钥对。其私有部分然后存储在赎金说明文件中,并由主 RSA
密钥(在二进制文件中硬编码)加密。为每个文件生成一个新的 AES-256 文件密钥。然后该密钥由会话 RSA
密钥加密,并连同原始文件大小一起存储在加密文件的末尾。
每个加密文件都包含一个名称为以下之一的赎金说明文件:
README-FILE-%ComputerName%-%TimeStamp%.htaLOCKFILE-FILE-%ComputerName%-%TimeStamp%.hta
加密文件可以通过 .ATOMSILO 或 .lockfile 扩展名识别:
当加密过程完成后,赎金说明会显示给用户。每个变体的赎金说明各有其风格:
如何使用解密工具
要解密您的文件,请按照以下步骤操作:
- 下载 。该单一 EXE 文件涵盖了两种勒索病毒变体。
- 直接运行此 EXE 文件。它将以向导的形式启动,引导您完成解密过程的配置。
在初始页面,您将看到一个致谢名单。只需点击“下一步”。
在下一页中,选择您希望解密的位置列表。默认情况下,它包含所有本地驱动器的列表。
在第三页中,您可以选择是否要备份加密文件。如果在解密过程中出现任何问题,这些备份可能会有所帮助。该选项默认为开启,我们建议保留。点击“解密”后,解密过程将开始。
让解密工具运行,并等待其完成。
致谢
我们感谢
分享了这两种勒索病毒变体的分析。
IOCs
SHA| 文件名
—|—
d9f7bb98ad01c4775ec71ec66f5546de131735e6dba8122474cc6eb62320e47b|
.ATOMSILO
bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce|
.lockfile
标签为
、、、
分享:XFacebook
