-
-
勒索软件-“Locker”作者放出私钥数据库
-
发表于: 2015-6-12 08:33 2272
-
新闻链接:http://bobao.360.cn/news/detail/1614.html
新闻时间:2015-6-01
新闻正文:
据说,"Locker"勒索软件的作者已经上传了一个C2服务器数据库的转储,公布了私钥数据。这名作者说很后悔发布了勒索软件,以后再也不会使用这些密钥,从6月2日开始受影响的主机会自动开始解锁。
t0117ef46ed532ef266.png
这名作者于2015/5/30发布的帖子 [url =http://pastebin.com/1WZGqrUH] 。
大家好,我是Locker的作者,我很抱歉发生了这样的事。其实,发布Locker并不是我的本意。我已经把
数据库上传到了
mega.co.nz
。数据库中包含有"比特币地址、 公钥、和私钥",数据格式是CSV。 这个
数据库转储是完整的,其中还包含了一些我没有使用过的密钥。从今往后,我不会再传播任何任何新的密
钥了。 hxxps: / /
mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4
从6 月 2 日午夜开始,所有被锁的主机都会陆续自动解锁。
@开发者们可能注意到了,私钥使用的是RSACryptoServiceProvider .net类 , 使用了RijndaelManaged 类的AES 256 位密钥来加密文件。
下面是加密文件的结构:
- 32 位整数, 标头长度
- 字节数组, 标头 (长度是前面的int)
*使用RSA&私钥来解密字节数组
解密后的字节数组包含:
-32 位整数,IV 长度
-字节数组,IV长度 (长度是在以前的 int)
-32 位整数,密钥长度
-字节数组,密钥 (长度是前面的 int)
-其余的数据都是由真正文件决定的,可以使用 Rijndaelmanaged 、IV 和密钥解密。
再次抱歉给你添麻烦了。
File Information
Name: database_dump.csv
Size: 127.5 MB
MD5: d4d781412e562b76fe0db0977cf6279b
SHA-1: 6ba671ce2a6c256c74d7db81186b0dbddd5e2185
SHA-256: d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f
VirusTotal: https://www.virustotal.com/en/file/d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f/analysis/1433015747/
经过简单的分析后,我们确定这个文件并不是恶意的,也确实提供了大量的 RSA 密钥。
CSV 文件中包含有比特币地址和 RSA 密钥。
您需要自担风险打开这个文件的风险,我们还会继续分析这个文件。
2015 年 5 月 31 日更新
资深程序员-内森 · 斯科特(Nathan Scott)一直在开发解密攻击以及其他安全工具 (发布在BleepingComputer.com),并且他已经成功开发出了一个可以解锁Locker的解密工具 。
点击下面的URL下载解密工具:
https://easysyncbackup.com/Downloads/LockerUnlocker_v1.0.6.0.exe
新闻时间:2015-6-01
新闻正文:
据说,"Locker"勒索软件的作者已经上传了一个C2服务器数据库的转储,公布了私钥数据。这名作者说很后悔发布了勒索软件,以后再也不会使用这些密钥,从6月2日开始受影响的主机会自动开始解锁。
t0117ef46ed532ef266.png
这名作者于2015/5/30发布的帖子 [url =http://pastebin.com/1WZGqrUH] 。
大家好,我是Locker的作者,我很抱歉发生了这样的事。其实,发布Locker并不是我的本意。我已经把
数据库上传到了
mega.co.nz
。数据库中包含有"比特币地址、 公钥、和私钥",数据格式是CSV。 这个
数据库转储是完整的,其中还包含了一些我没有使用过的密钥。从今往后,我不会再传播任何任何新的密
钥了。 hxxps: / /
mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4
从6 月 2 日午夜开始,所有被锁的主机都会陆续自动解锁。
@开发者们可能注意到了,私钥使用的是RSACryptoServiceProvider .net类 , 使用了RijndaelManaged 类的AES 256 位密钥来加密文件。
下面是加密文件的结构:
- 32 位整数, 标头长度
- 字节数组, 标头 (长度是前面的int)
*使用RSA&私钥来解密字节数组
解密后的字节数组包含:
-32 位整数,IV 长度
-字节数组,IV长度 (长度是在以前的 int)
-32 位整数,密钥长度
-字节数组,密钥 (长度是前面的 int)
-其余的数据都是由真正文件决定的,可以使用 Rijndaelmanaged 、IV 和密钥解密。
再次抱歉给你添麻烦了。
File Information
Name: database_dump.csv
Size: 127.5 MB
MD5: d4d781412e562b76fe0db0977cf6279b
SHA-1: 6ba671ce2a6c256c74d7db81186b0dbddd5e2185
SHA-256: d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f
VirusTotal: https://www.virustotal.com/en/file/d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f/analysis/1433015747/
经过简单的分析后,我们确定这个文件并不是恶意的,也确实提供了大量的 RSA 密钥。
CSV 文件中包含有比特币地址和 RSA 密钥。
您需要自担风险打开这个文件的风险,我们还会继续分析这个文件。
2015 年 5 月 31 日更新
资深程序员-内森 · 斯科特(Nathan Scott)一直在开发解密攻击以及其他安全工具 (发布在BleepingComputer.com),并且他已经成功开发出了一个可以解锁Locker的解密工具 。
点击下面的URL下载解密工具:
https://easysyncbackup.com/Downloads/LockerUnlocker_v1.0.6.0.exe
赞赏
看原图
赞赏
雪币:
留言: