เครื่องมือถอดรหัส Ouroboros Ransomware

เครื่องมือถอดรหัส Ouroboros Ransomware

Ouroboros ransomware มีมานานกว่าหลายปี ในรูปแบบต่างๆ ดำเนินการโดยกลุ่มอาชญากรรมไซเบอร์ Ouroboros ซึ่งเป็นที่รู้จักกันดีในการแพร่กระจายผ่านการโจมตีด้วย การรีโมทเดสก์ท็อปผ่านโปรโตคอล และการดาวน์โหลดที่หลอกลวง ซึ่งมีเหยื่อจำนวนมากทั่วโลก ตอนนี้เรามีความยินดีที่จะประกาศความพร้อมใช้งานของตัวถอดรหัสลับใหม่ที่สามารถเรียกคืน .Lazarus และ Lazarus + file extensions เป็นรูปแบบดั้งเดิมที่ไม่ได้เข้ารหัส

โปรดทราบว่าเครื่องมือนี้ใช้ได้กับส่วนขยาย Lazarus และ Lazarus + extensions. Kronos ยังอยู่ระหว่างการวิเคราะห์

จะบอกได้อย่างไร ว่าอุปกรณ์ของคุณติดเชื้อ Ouroboros ?

ส่วนใหญ่ คอมพิวเตอร์ จะติดไวรัส จาก ไฟล์ ที่มีการ encrypted และ renamed จากซื้อไฟล์เก่า โดยมีคำต่อท้าย [ID=XXXXXXXXXX][Mail= * ].Lazarus  or [ID=XXXXXXXXXX][Mail= * ].Lazarus+ strings. The ID จะมี 10 ตัวอักษร แบบ random เพิ่มด้วย ซึ่ง Ouroboros จะสร้างความหลากหลาย โดยเรียกว่า Read-Me-Now.txt

Ransom Note Fig. 1: Lazarus ransom note Ransom Note

ดาว์นโหลด The Ouroboros decryption tool ได้ที่

https://www.bitdefender.co.th/resources/tools/BDOuroborosDecryptTool.exe

Fig. 2: Lazarus+ ransom note

 

ถ้าคุณติดเชื้อ Lazarus คุณสามารถดาว์นโหลดตัวถอดรหัสได้ทันที

ถ้าคุณสนใจว่า Ouroboros ทำงานอย่างไร คุณสามารถอ่านที่เนื้อหา ถัดไป

คำอธิบายทางเทคนิคโดยย่อ

 ไฟล์ที่ได้รับผลกระทบจะถูกเข้ารหัสด้วยอัลกอริทึม AES 256 CBC ตามคำแนะนำของ aesenc / aesenclast วิธีนี้ช่วยป้องกันไม่ให้มัลแวร์ทำงานบนซีพียูรุ่นเก่า (ก่อนปี 2010) 

Fig. 3:  ขั้นตอนการเข้ารหัสด้วยการรองรับ AES-NI

The initialization vector ใช้สำหรับการเข้ารหัสนั้นเป็นฮาร์ดโค้ดมากกว่าที่สร้างขึ้นและจะเปลี่ยนไปในแต่ละเวอร์ชัน

Fig. 4: Lazarus initialization vector Fig. 5: Lazarus+ initialization vector

สิ่งที่สำคัญ คือ การรวมกันของ PRNGs (pseudo-random number generators), Mersenne Twister และ IsaacRandom,

เริ่มจาก บทความข้างล่าง :

หลังจาก key generation, the ransomware จะเข้าไปขโมยข้อมูลของผู้ใช้งาน และแก้ไข code

วิธีถอดรหัสข้อมูลของคุณ

ขั้นตอนที่ 1: ดาวน์โหลดเครื่องมือถอดรหัสด้านล่างและบันทึกไว้ที่ใดที่หนึ่งบนคอมพิวเตอร์ของคุณ

เครื่องมือนี้ไม่ต้องการการเชื่อมต่ออินเทอร์เน็ตที่ใช้งานอยู่

ขั้นตอนที่ 2: คลิกสองครั้งที่ BDOuroborosDecryptTool.exe แล้วปล่อยให้รันในระดับที่พรอมต์ของ UAC
ขั้นตอนที่ 3: ยอมรับข้อตกลงสิทธิ์การใช้งานสำหรับผู้ใช้ปลายทาง
ขั้นตอนที่ 4: เลือก“ สแกนทั้งระบบ” หากคุณต้องการค้นหาไฟล์ที่เข้ารหัสทั้งหมด หรือเพิ่มเส้นทางไปยังโฟลเดอร์ที่มีไฟล์ที่เข้ารหัส เราขอแนะนำให้คุณเลือก“ ไฟล์สำรองข้อมูล” ก่อนเริ่มถอดรหัสหากมีสิ่งใดที่ไม่คาดคิดเกิดขึ้นในระหว่างกระบวนการ เริ่มการถอดรหัสโดยคลิกปุ่ม“ สแกน”
ในตอนท้ายของขั้นตอนนี้ไฟล์ของคุณควรถูกถอดรหัส เครื่องมือสร้างบันทึกการทำงานที่ตำแหน่ง% temp% \ BDRansomDecryptor \ BDRansomDecryptor \ BitdefenderLog.txt
หากคุณต้องการความช่วยเหลือติดต่อเราตามที่อยู่ข้อเสนอแนะที่ระบุไว้ในเครื่องมือ เราขอให้คุณแนบไฟล์บันทึกดังกล่าวข้างต้นเพื่อช่วยคุณแยกปัญหาที่อาจเกิดขึ้นและลดเวลาตอบสนอง

การปรับใช้อัตโนมัติทั่วทั้งเครือข่าย

เครื่องมือยังสามารถดำเนินการผ่านทาง command line หากคุณต้องการปรับใช้เครื่องมือในเครือข่ายขนาดใหญ่โดยอัตโนมัติคุณอาจต้องการใช้คุณสมบัตินี้

 

  • -help – ให้ข้อมูลเกี่ยวกับวิธีการเรียกใช้เครื่องมืออย่างเงียบ ๆ (silently) (ข้อมูลนี้ถูกเขียนในไฟล์บันทึกไม่ใช่บนเอาต์พุตคอนโซล)
  • start – อนุญาตให้เครื่องมือรันอย่างเงียบ ๆ (ไม่มี GUI)
  • path – ระบุเส้นทางที่จะสแกน
  • test – ระบุ path ทดสอบไปยังคู่ของไฟล์ต้นฉบับ / เข้ารหัสไฟล์
  • o0:1 – เปิดใช้งานการสแกนตัวเลือกทั้งระบบ (ละเว้นอาร์กิวเมนต์ -path)
  • o1:1 – เปิดใช้งานตัวเลือกไฟล์สำรอง
  • o2:1 – เปิดใช้งานตัวเลือกเขียนทับไฟล์ที่มีอยู่
ตัวอย่างบรรทัดคำสั่ง:

BDOuroborosDecryptor.exe start -path:”C:\” -> เครื่องมือเริ่มต้นโดยไม่มี GUI และสแกน C: \

BDOuroborosDecryptor.exe start o0:1 -> เครื่องมือเริ่มต้นโดยไม่มี GUI และสแกนระบบทั้งหมด

BDOuroborosDecryptor.exe start o0:1 o1:1 o2:1 -> เครื่องมือสแกนระบบทั้งหมดสำรองไฟล์ที่เข้ารหัสและเขียนทับไฟล์ที่นำเสนอใหม่ทั้งหมด

เพิ่มเติม:

ผลิตภัณฑ์นี้รวมถึงซอฟต์แวร์ที่พัฒนาโดย OpenSSL Project สำหรับใช้ใน OpenSSL Toolkit

BitdefenderTotal Security 2020

ราคาปกติ: ฿1,839.00

ประหยัด:฿1,104.00

ราคาพิเศษ: ฿735.00

Post Releases