新闻链接：http://bobao.360.cn/news/detail/1614.html
新闻时间：2015-6-01
新闻正文：
据说，"Locker"勒索软件的作者已经上传了一个C2服务器数据库的转储，公布了私钥数据。这名作者说很后悔发布了勒索软件，以后再也不会使用这些密钥，从6月2日开始受影响的主机会自动开始解锁。

t0117ef46ed532ef266.png

这名作者于2015/5/30发布的帖子 [url =http://pastebin.com/1WZGqrUH] 。

大家好，我是Locker的作者，我很抱歉发生了这样的事。其实，发布Locker并不是我的本意。我已经把
数据库上传到了
mega.co.nz
。数据库中包含有"比特币地址、 公钥、和私钥"，数据格式是CSV。 这个
数据库转储是完整的，其中还包含了一些我没有使用过的密钥。从今往后，我不会再传播任何任何新的密
钥了。  hxxps: / /
mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4
从6 月 2 日午夜开始，所有被锁的主机都会陆续自动解锁。
@开发者们可能注意到了，私钥使用的是RSACryptoServiceProvider .net类 ， 使用了RijndaelManaged 类的AES 256 位密钥来加密文件。
下面是加密文件的结构：
- 32 位整数, 标头长度
- 字节数组, 标头 (长度是前面的int)
*使用RSA&私钥来解密字节数组
解密后的字节数组包含：
-32 位整数，IV 长度
-字节数组，IV长度 （长度是在以前的 int）
-32 位整数，密钥长度
-字节数组，密钥 （长度是前面的 int）
-其余的数据都是由真正文件决定的，可以使用 Rijndaelmanaged 、IV 和密钥解密。
再次抱歉给你添麻烦了。
File Information
Name: database_dump.csv
Size: 127.5 MB
MD5: d4d781412e562b76fe0db0977cf6279b
SHA-1: 6ba671ce2a6c256c74d7db81186b0dbddd5e2185
SHA-256: d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f
VirusTotal: https://www.virustotal.com/en/file/d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f/analysis/1433015747/
经过简单的分析后，我们确定这个文件并不是恶意的，也确实提供了大量的 RSA 密钥。

CSV 文件中包含有比特币地址和 RSA 密钥。

您需要自担风险打开这个文件的风险，我们还会继续分析这个文件。

2015 年 5 月 31 日更新

资深程序员-内森 · 斯科特(Nathan Scott)一直在开发解密攻击以及其他安全工具 （发布在BleepingComputer.com），并且他已经成功开发出了一个可以解锁Locker的解密工具 。

点击下面的URL下载解密工具：

https://easysyncbackup.com/Downloads/LockerUnlocker_v1.0.6.0.exe

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)