.gif)
Download_Link
Участник клуба
Это инструмент с открытым кодом для расшифровки систем, зараженных программой-вымогателем Avaddon. Для этого компьютер не должен быть выключен после заражения. Принцип работы AvaddonDecrypter заключается в следующем: дешифратор демпит оперативную память заражённой системы и прочёсывает её содержимое на наличие данных, которые могут помочь восстановить оригинальный ключ шифрования.
Студент Хавьер Юсте (Javier Yuste) из мадридского Университета имени Короля Хуана Карлоса создал бесплатный инструмент AvaddonDecrypter, предназначенный для дешифровки файлов, пострадавших от вымогателя Avaddon.
Это решение могло помочь лишь новым жертвам вредоноса и работало лишь в том случае, если пострадавшие не выключили свои компьютеры после атаки. Так, AvaddonDecrypter делал дамп ОЗУ зараженной системы и просматривал содержимое памяти в поисках данных, которые можно было бы использовать для восстановления исходного ключа шифрования. Если ключ удавалось воссоздать, становилась доступна бесплатная расшифровка файлов.
Оперативная реакция злоумышленников дала новый виток многолетнему спору, который давно ведут между собой ИБ-специалисты. Так, некоторые эксперта убеждены, что дешифровщики, которые эксплуатируют различные ошибки в коде малвари, должны оставаться конфиденциальными и распространяться среди пострадавших только по закрытым каналам.
В том случае, если такие инструменты все же должны быть обнародованы, их публикация не должна сопровождаться какими-либо техническими деталями и данными, которые подскажут злоумышленникам, как лучше исправить собственный код.
Если же дешифровщик построен на базе мастер-ключей дешифрования, полученных с серверов хакеров, он может быть опубликован в открытом доступе, так как с подобными инструментами преступники ничего поделать не могут.
Инструкция
- Загрузите Sysinternals Suite в зараженную систему. Исполняемые файлы не шифруются Avaddon. В частности, вам потребуются два инструмента из набора: Process Explorer и ProcDump.
- Откройте Process Explorer от имени администратора и найдите процесс Avaddon. Приостановите (не убивайте!) Процесс и запишите PID процесса.
- Откройте cmd от имени администратора и сделайте дамп памяти процесса. Для этого вы можете запустить procdump.exe -ma <PID>, где <PID> – это PID процесса вымогателя, который мы видели на втором шаге.
- Помимо дампа памяти вам потребуется зашифрованный файл и оригинальная версия такого зашифрованного файла. Если у вас их нет, вы можете сбросить копию фиктивного текстового файла в зараженную систему перед приостановкой процесса (или удалить файл, возобновить процесс, дождаться, пока файл будет зашифрован, и снова приостановить процесс). Я обычно оставляю дамп памяти, зашифрованный файл и его исходную версию в папке dump_and_original_file.
- Откройте cmd от имени администратора (важно, так как процессу потребуются права администратора для расшифровки некоторых папок) и запустите дешифратор следующим образом
ython3 main.py -f <encrypted_file> -o <original_file> -d <memory_dump> --folder <folder_to_decrypt>
<folder_to_decrypt> должно быть ‘C: \’
Расшифровка строк
./utils/decrypt_strings.py
содержит сценарий Python для расшифровки и маркировки обфусцированных строк Avaddon в Binary Ninja. Обратите внимание, что он был разработан для первых версий Avaddon. В более поздних версиях используются другие ключи XOR, хотя общий процесс остается аналогичным.
