-
-
【工具分享】LIVE1.0、1.5、2.0解密工具合集
-
发表于: 2024-6-26 11:42 3643
-
【工具分享】LIVE1.0解密工具
1.前言
本篇衔接【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)文章,该文对LIVE1.0版本解密工具进行分析并提供了该工具的下载地址。
2.工具分析
2.1 LIVE1.0(A程序-黑客解密器Patch)
此解密器由之前某受害用户支付赎金向黑客购买所得,在分析了该解密器的基础上,通过patch可以制作出其他受害者的解密器。
加密器程序文件结构
由此可以知道密钥在文件中的具体位置
密钥提取
由加密器的文件结构可以知道密钥的具体位置
文件中的位置
具体的值
key = {0xBB, 0x5D, 0xDB, 0x9C, 0xF6, 0x79, 0x16, 0xF5, 0x9F, 0x9F, 0x81, 0xF4, 0x54, 0x75, 0x3E, 0x10};
IV提取
在密钥初始化阶段的encryption_Initialize函数中就可以提取到
具体的值
IV = {0x46, 0x45, 0xC3, 0xF7, 0xBF, 0x93, 0xEE, 0xA0, 0x4A, 0x0A, 0x42, 0x54, 0x65, 0xE9, 0x58, 0x5B};
2.2 LIVE1.0(B程序-补充补丁程序)
- 用户选择操作模式:程序提供三种操作模式供用户选择:
- 单一文件解密。
- 整个文件夹解密。
- 递归搜索指定路径下所有文件并尝试解密。
- 文件解密逻辑:核心功能是通过
decrypt_data
函数实现,该函数接收一个被加密文件的数据,并尝试将其解密。解密过程涉及对文件数据的逐字节操作,使用了特定的加密盒(encryption_sbox
)、加密密钥(encryption_key
)、初始化向量(encryption_iv
)以及一个加密特征尾(characteristic
)用于识别和处理文件尾部。 - 文件处理:
encrypt_file
函数接收一个文件路径,读取文件内容,并调用decrypt_data
进行解密,然后将解密后的数据写回到新的文件中,去除.LIVE
后缀。list_files_in_directory
函数用于处理一个目录下的所有文件,对于每个.LIVE
后缀的文件调用encrypt_file
函数尝试解密。- 对于递归模式,脚本遍历用户指定路径下的所有文件夹和文件,对找到的每个
.LIVE
后缀的文件尝试解密。
- 解密判断逻辑:脚本首先检查文件是否以特定的加密特征结尾,然后根据文件扩展名决定使用全文件解密还是部分解密。对于识别的文件类型,脚本尝试完整解密;对于未知或不支持的文件类型,只解密文件的前8KB数据。
- 结果处理:解密后,脚本基于文件类型检测(使用
filetype.guess
函数)判断解密是否成功。如果成功,根据文件内容是否符合预期的文件类型来选择是否需要重新命名文件,并可能生成未加密的版本作为备份。 - 用户交互:脚本末尾接收用户输入,根据输入执行相应的解密操作。
2.3 LIVE1.0(权限修改程序-批量修改文件权限)
使用场景:
此脚本适用于LIVE1.0勒索软件攻击后的恢复场景,尤其是当文件被勒索软件设置为只读属性,用户需要批量去除这些属性以便进一步处理(如删除或替换)这些文件。
运行方式:
在命令行下运行,根据提示输入相应的选项,即可自动去除指定路径或盘符下所有.LIVE
后缀文件的只读属性,建议输入3直接自动搜索并解除全盘的LIVE后缀文件权限。
3 工具整体使用流程
请按照以下教程顺序执行
3.1 移除文件只读属性
运行 SET-Solar-LIVE修改文件权限.exe ,确保解密工具能够对被勒索文件进行读写操作。按提示输入对应数字。
3.2 运行解密程序
运行 SET-Solar-A【005ZZ】.exe ,解密工具会自动遍历全盘被勒索文件并解密。
3.3 运行保险修复程序
由于LIVE勒索病毒功能上的残缺,导致会存在加密后损坏文件的情况,无法通过解密程序进行修复。因此解密后仍无法打开的文件就需要使用 **SET-Solar-B【005ZZ】.exe,**可输入数字指定文件或路径进行修复。
【工具分享】LIVE1.5解密工具
1.前言
本篇文章衔接上篇【病毒分析】独家揭秘LIVE勒索病毒家族之1.5(全版本可解密)文章,该文对LIVE1.5版本解密工具的使用进行说明并提供了该工具的下载地址。
2.工具特征
2.1 配置信息
在执行文件的末尾明文存储了文件运行的相关信息。
1 | { 'MinDate' : <int64 1699574400>, 'MaxDate' : <int64 1702944000>, 'AppendedExtension' : < 'LIVE' >, 'NoteFilename' : < 'FILE RECOVERY_ID_436BF0.txt' >, 'DropNoteInSpecificDirectories' : < true >, 'DirectoriesToDropNoteIn' : <@as []>, 'IncludeFiles' : < false >, 'FileSet' : <[ 'FILE RECOVERY_ID_436BF0.txt' ]>, 'IncludeDirectories' : < false >, 'DirectorySet' : <[ 'C:\\Program Files' , 'C:\\Program Files (x86)' , 'C:\\ProgramData' , 'C:\\Windows' , 'C:\\msys64' , 'C:\\Users\\All Users' ]>, 'IncludeExtensions' : < false >, 'NoneSet' : <[ 'exe' , 'dll' , 'ini' , 'tmp' , 'url' , 'lnk' , 'ps1' , 'nls' , 'shs' , 'themepack' , 'bin' , 'msp' , 'wpx' , 'bat' , 'sys' , 'spl' , 'scr' , 'icl' , 'rom' , 'msc' , 'ico' , 'LIVE' ]>, 'FastSet' : <@as []>, 'IntermittentSet' : <@as []>, 'FullSet' : <[ 'txt' , 'log' ]>, 'EncryptHiddenFiles' : < true >, 'EncryptHiddenDirectories' : < false >, 'BufferSize' : <4096>, 'Percent' : <0.02>, 'Segmentation' : <512.0>} |
MinDate
与MaxDate
是Unix时间戳,翻译为GMT+8时间如下,程序在此段时间以外不会运行
2023-11-10 08:00:00 - 2023-12-19 08:00:00
。
2.2 勒索信
勒索信明文存在文件末尾。
具体内容如下:
Hello Your file has been encrypted and cannot be used To return to the file under the working conditions, you need to decrypt the tools Decolling all data according to the instructions Don't try to change or restore the file yourself, which will destroy them If necessary, you can decrypt a test file for free. Free test decryption is only available for files less than 3MB in size. To restore files, you need a decryption tool. Please contact us by email. Please add the file name of this document to the email and send it to me. 【FILE RECOVERY_ID xxxxxx】 I will tell you the amount you need to pay. After the payment is completed, we will make the decryption tool and send it to you. Customer service mailbox: locked@onionmail.org locked@onionmail.org You can also contact us through intermediary agencies (such as data recovery companies) If you refuse to pay, you will be attacked constantly. Your privacy -sensitive data will also be announced on Internet. !! We are a team that pays attention to credibility, so you can pay safely and restore data. LIVE TEAMI
2.3 加密文件特征
在LIVE1.0版本中,会在加密文件的尾部存储progarm_id,但是在LIVE1.5版本中,此功能被阉割,加密之后文件大小不会发生改变,仅文件名添加后缀.LIVE
。
加密的本质是异或单字节加密,当原文件的后缀名是txt
或者log
时,文件执行全加密,其余文件执行快速加密,即仅对文件的前0x1000个Byte进行加密。
加密后
解密后
密钥
加密的密钥也明文存在文件的末尾,运行时读取此密钥进行加密,密钥的长度为8Byte。
3.工具使用说明
3.1 移除文件只读属性
运行 SET-Solar-LIVE修改文件权限.exe ,确保解密工具能够对被勒索文件进行读写操作。按提示输入对应数字。
3.2 运行解密程序
运行 SET-Solar-LIVE1.5.exe ,解密工具会自动遍历路径中被勒索文件并解密。
【工具分享】LIVE2.0解密工具
1.前言
本篇衔接【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密)文章,该文对LIVE2.0版本解密工具进行分析并提供了该工具的下载地址。
2.工具分析
2.1 LIVE2.0(A程序-黑客解密器Patch)
此解密器由之前某受害用户支付赎金向黑客购买所得,在分析了该解密器的基础上,通过patch可以制作出其他受害者的解密器。
加密器程序文件结构
由此可以知道密钥在文件中的具体位置
密钥提取
由加密器的文件结构可以知道密钥的具体位置
文件中的位置
具体的值
key = {0xBB, 0x5D, 0xDB, 0x9C, 0xF6, 0x79, 0x16, 0xF5, 0x9F, 0x9F, 0x81, 0xF4, 0x54, 0x75, 0x3E, 0x10};
IV提取
在密钥初始化阶段的encryption_Initialize函数中就可以提取到
具体的值
IV = {0x46, 0x45, 0xC3, 0xF7, 0xBF, 0x93, 0xEE, 0xA0, 0x4A, 0x0A, 0x42, 0x54, 0x65, 0xE9, 0x58, 0x5B};
2.2 LIVE2.0(权限修改程序-批量修改文件权限)
使用场景:
此脚本适用于LIVE2.0勒索软件攻击后的恢复场景,尤其是当文件被勒索软件设置为只读属性,用户需要批量去除这些属性以便进一步处理(如删除或替换)这些文件。
运行方式:
在命令行下运行,根据提示输入相应的选项,即可自动去除指定路径或盘符下所有.LIVE
后缀文件的只读属性,建议输入3直接自动搜索并解除全盘的LIVE后缀文件权限。
3 工具整体使用流程
请按照以下教程顺序执行
3.1 移除文件只读属性
运行 SET-Solar-LIVE修改文件权限.exe ,确保解密工具能够对被勒索文件进行读写操作。按提示输入对应数字。
3.2 运行解密程序
运行 SET-Solar-A.exe ,解密工具会自动遍历全盘被勒索文件并解密。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)