找回密码
 立即注册
搜索
查看: 5343|回复: 28

[软件] 中了勒索病毒,文件都被加密了,真能解吗

[复制链接]
     
发表于 2024-5-5 16:51 来自手机 | 显示全部楼层 |阅读模式
最近接触好几家公司,都是中了类lockbit 3.0的勒索病毒,特征是加密成文件名+7位字符、勒索信是7个字符.README.txt。

这几家公司都找了恢复公司,在没有备份的情况下,硬给还原了出来

那些恢复公司还原的手段,除了找回勒索者给钱买解码器以外我都没想到还有什么其他方法

—— 来自 S1Fun
回复

使用道具 举报

     
 楼主| 发表于 2024-5-5 16:54 | 显示全部楼层
还是说,现在这个行业内已经有针对类lockbit 3.0衍生变种有统一的获得密钥的方案呢?

在我了解到的其中例子里面,用的就是LB3Decryptor.exe解密

—— 来自 S1Fun
回复

使用道具 举报

头像被屏蔽
     
发表于 2024-5-5 17:15 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2024-5-5 17:34 来自手机 | 显示全部楼层
从硬盘上恢复没有被覆盖掉的被删除文件吧
回复

使用道具 举报

     
发表于 2024-5-5 18:03 | 显示全部楼层
rm / 可比加密速度快多了. 为什么你觉得都勒索了 还那么有节操
回复

使用道具 举报

     
发表于 2024-5-5 18:07 | 显示全部楼层
不是说一般恢复公司就是过去帮你讲价的
回复

使用道具 举报

头像被屏蔽
发表于 2024-5-5 18:47 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2024-5-5 18:49 | 显示全部楼层
https://lesuobingdu.360.cn/

已经被解密了一批
回复

使用道具 举报

     
发表于 2024-5-5 18:52 | 显示全部楼层
数学上没可能直接解密的.
恢复公司估计有专门渠道找到真正的黑客讲讲价, 用BTC付款, 估计也没有其他好办法了.

普通人很大可能先被各种李鬼骗一次, 即使找到正主了, 也要被BTC支付拦住或者再骗一次.
回复

使用道具 举报

     
发表于 2024-5-5 20:31 | 显示全部楼层
本帖最后由 人生如戏 于 2024-5-5 20:32 编辑

对于不想给钱,的人来说,全盘ghost,然后用数据恢复软件扫全盘,恢复被删除的文件?加密原理基本是先将原文件加密一份新的,再删除旧文件吧?对于数据恢复公司,这种程度的删除,恢复出来是分分钟的事

—— 来自 S1Fun
回复

使用道具 举报

     
发表于 2024-5-5 20:44 | 显示全部楼层
无论大小,抠门公司都这样,舍不得病毒企业版这样的保护费,就被收两次
回复

使用道具 举报

     
发表于 2024-5-5 21:48 | 显示全部楼层
人生如戏 发表于 2024-5-5 20:31
对于不想给钱,的人来说,全盘ghost,然后用数据恢复软件扫全盘,恢复被删除的文件?加密原理基本是先将原 ...

你真小看勒索病毒........

回复

使用道具 举报

     
 楼主| 发表于 2024-5-5 21:48 | 显示全部楼层
人生如戏 发表于 2024-5-5 20:31
对于不想给钱,的人来说,全盘ghost,然后用数据恢复软件扫全盘,恢复被删除的文件?加密原理基本是先将原 ...

像lockbit衍生的加密,就只会加密文件前4kb,不是整个文件加密一份副本后删除

—— 来自 S1Fun
回复

使用道具 举报

     
发表于 2024-5-5 21:51 | 显示全部楼层
有些传播比较广泛的病毒被杀软厂商破解了,只要你中招之后没有关机他们就能从内存里面提取出秘钥来
回复

使用道具 举报

     
发表于 2024-5-5 21:56 | 显示全部楼层
人生如戏 发表于 2024-5-5 20:31
对于不想给钱,的人来说,全盘ghost,然后用数据恢复软件扫全盘,恢复被删除的文件?加密原理基本是先将原 ...

用脑子想想,恢复真像你说的这么简单还勒索个屁啊

—— 来自 S1Fun
回复

使用道具 举报

     
发表于 2024-5-5 21:59 | 显示全部楼层
怎么就不能是蛇鼠一窝, 制造勒索病毒也是他们的业务
回复

使用道具 举报

发表于 2024-5-5 22:45 来自手机 | 显示全部楼层
那么是怎样中招的呢?
回复

使用道具 举报

     
发表于 2024-5-6 09:09 来自手机 | 显示全部楼层
重要文件不多的话,我觉得类似onedrive这样带历史版本的网盘可以最大程度挽回损失
回复

使用道具 举报

发表于 2024-5-6 09:48 来自手机 | 显示全部楼层
除非那些勒索病毒的私钥漏了,或者加密的实现有bug,那么这些勒索解密公司都是去联系付费,赚个差价

—— 来自 Xiaomi 23049RAD8C, Android 14上的 S1Next-鹅版 v2.5.2-play
回复

使用道具 举报

     
发表于 2024-5-6 14:15 | 显示全部楼层
是怎么中的?说起这种东西就提心吊胆。有人说windows只要跟上升级进度就不怕,有人说啥杀毒软件都防不住。这东西怎么中的?又怎么能预防?
回复

使用道具 举报

     
发表于 2024-5-6 14:38 | 显示全部楼层
本帖最后由 chinesepy 于 2024-5-6 14:39 编辑

可以看安天实验室的这个样本分析https://www.antiy.com/response/LockBit.html
“LockBit勒索软件仅对被加密文件头部的前4K数据进行加密,因此加密速度明显快于全文件加密的其他勒索软件,由于在原文件对应扇区覆盖写入,受害者无法通过数据恢复的方式来还原未加密前的明文数据
回复

使用道具 举报

     
发表于 2024-5-6 14:48 | 显示全部楼层
...lockbit不是最近被欧美执法机构端过一次了吗,当时就出了解密工具,lockbit加盟商没拿到新版本软件的话那就是能解密的
回复

使用道具 举报

     
发表于 2024-5-6 14:50 | 显示全部楼层
The operation has also attempted to aim at the financial epicenter of LockBit, which over the years has received more than $120 million in ransom payments and has made ransom demands totaling hundreds of millions of dollars. In addition to authorities freezing the 200 cryptocurrency accounts linked to the organization, the U.S. Treasury Department on Tuesday also issued sanctions against Kondratiev and Sungatov. The sanctions ban all transactions between these individuals and people in the U.S.

The announcement also reveals two short-term wins for businesses hit by the LockBit ransomware. First, a decryption tool was developed by the FBI, UK’s National Crime Agency and Japanese police. This tool is now available on the No More Ransom portal, and LockBit victims can use it for free in order to recover their encrypted files. Second, LockBit’s data stolen from victims appears to now be in the hands of law enforcement - though there’s no guarantee that there aren’t other copies of this stolen data floating around, said Stifel. Still, “at the very least additional investigative work can help victims understand what was taken and help them to better assess their risk from further damage from the release of that data,” said Stifel.



下载地址:

https://www.nomoreransom.org/upl ... ker_for_LockBit.zip
回复

使用道具 举报

     
发表于 2024-5-6 14:56 | 显示全部楼层
无非是
U盘文件随便打开、不明网站随便下载文件、邮件附件随便打开
windows 的漏洞
某些软件的漏洞
解决方法:
windows 定期打补丁
软件定期升级
装个合适的杀毒软件

综上所述,我是很不能理解,
一边对windows补丁深恶痛绝或使用ltsc版本windows不升级的
一边喜欢装性能不明的火绒
一边还鄙视360
回复

使用道具 举报

头像被屏蔽
发表于 2024-5-6 15:06 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
 楼主| 发表于 2024-5-6 15:22 | 显示全部楼层
Benighted 发表于 2024-5-6 14:48
...lockbit不是最近被欧美执法机构端过一次了吗,当时就出了解密工具,lockbit加盟商没拿到新版本软件的话 ...

按我个人理解,解释一下这个解密工具(也就是23#的那个)

lockbit被查处后从服务器获得的一部分私钥,而有了这些私钥就可以恢复对应公钥的机器👈前提
日本警察就做了这个工具,通过Decryption_Checker_for_LockBit这个工具可以检查你中了的那个公钥,是否对应这批私钥
实际上这不是一个恢复工具,只是一个检查。如果你使用这个工具检查出存在可以恢复后,再发邮件联系(日本**?),后续估计会给你这个恢复的工具。
回复

使用道具 举报

     
 楼主| 发表于 2024-5-6 15:34 | 显示全部楼层
然后再简单说一下这个lockbit和lockbit的关系

lockbit是一个勒索企业,它主要负责运营而不负责执行。请了开发团队专门做勒索加密的主体,从1.0迭代到3.0。
为什么称为企业,因为他们不直接勒索,而且把勒索加密程序分销给代理商。代理商不用去做深度的开发,直接去渗透到各个机器上运行,勒索回来再抽成。

于是lockbit市场份额慢慢变高,收益也高了。在官网弄了个奖励计划,发现lockbit程序的漏洞可以拿奖金。

后续还真被发现了有漏洞,管理层说给发现者奖励5w刀。但是不是从管理者兜里掏,而是扣开发组的工资。那开发组就不干了,这个程序赚了这么多,拿的死工资还被扣,于是开发组就把整个3.0程序开源。

开源了的程序非常简单就可以变成一款新的类lockbit变种(基本上只需要改config.json里的几个参数就可以了),所以后续就衍生了无数的变种,包括我接触的这几个公司。同时因为代理都跑路自立门户了,lockbit也失去了议价权,原本平均要5w刀/台的勒索费,好像也被干到了几千刀,所以就给了所谓恢复公司有空间可以过手(我猜的)
回复

使用道具 举报

     
 楼主| 发表于 2024-5-6 15:52 | 显示全部楼层
本帖最后由 ctkghost 于 2024-5-6 15:53 编辑

就针对我接触这几例中勒索病毒的公司,规模有大有小,服务器一台到几台不等。有的有防火墙有的没有纯裸奔。
其中我认为最大的问题是互联网出口有暴露面,可以直接访问网站、rdp远程等。

这几家公司实际上也有尝试联系勒索者,但都是匿名邮箱,估计是国内正常方式无法发送邮件。

最好的方法就是互联网减少暴露面,外面连进企业内网需要走微屁en之类的。另外就是日常的防护,就算做了万全的被动防护措施,使用者直接点开病毒程序这些也是没救的。以及做好3-2-1备份,其中一个公司的所谓备份就直接放在同一台设备,无可避免也被加密了。


我就是很好奇,请的所谓恢复公司真能恢复,是不是行业内有什么恢复方案呢。
回复

使用道具 举报

     
发表于 2024-5-7 10:05 | 显示全部楼层
本帖最后由 痴货 于 2024-5-7 10:09 编辑

磁盘的话不是反复擦写应该还是能恢复出来的,但需要专门工具,甚至需要实验室开盘。如果是SSD的话,各家的firmware写入算法应该是从性能角度考虑貌似不会先擦除再overwrite到同一位置,而是直接写入到新的区域,然后将位置映射到新的区域,这样就表示了原始的数据还在,但这个具体如何还得看各家硬盘商自己。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-27 04:22 , Processed in 0.154019 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表