解密被 Findzip 勒索軟體感染的文件

01-27

專門針對OS X的勒索軟體Findzip（亦稱Filecoder）是在2017年2月22日被發現的。近日，國外安全專家發現Findzip是通過BitTorrent網站傳播的，MalwareBytes研究人員Thomas Reed發現，那些受到Findzip 感染的MacOS用戶，即使支付了贖金也不會得到黑客提供的密鑰。

因為專家們發現被Findzip加密的文件具有不可逆性，所以如果MacOS用戶被Findzip感染了，就只有干著急了。

不過事情並不是絕對的，經過嘶吼編輯組的不懈努力，我們還是發現了一些能夠解密Findzip加密文件的方法。

不過在恢復文件之前，你需要先做好一些準備工作：

1.重新使用一台Mac

2.使用0Xcode開發環境或TextWrangler文本編輯器
3.執行Xcode命令行工具
4.下載pkcrack源代碼
5.複製一份已經被Findzip加密的文件

首先，你需要重新使用一台Mac，這就像在受感染的Mac上新建一個用戶帳戶。

如果你需要在Windows或Linux計算機上進行解密操作，你就需要弄清楚如何在非系統Mac系統上編譯和使用pkcrack工具。

第二，你需要使用蘋果的Xcode開發環境或一個方便操作的文本編輯器。從理論上講，Xcode開發環境是最理想的解密操作環境，但由於Xcode的下載文件太大，大多數人可能不會使用這個操作環境，所以除非你非要下載Xcode，否則我們還是你建議下載TextWrangler。TextWrangler是許多的Mac使用者最常用的文字編輯器之一，TextWrangler既是一個方便的文本編輯器，也是非常輕巧的代碼開發工具，內置了包括HTML/XHTML, XML, PHP, JavaScript, Perl, Python, Ruby, Lua, Java, ANSI C, C++, Objective-C等幾十種語言的語法。

第三，你需要安裝Xcode命令行工具，不過你不需要實際安裝Xcode。如果你沒有Xcode的副本，請打開終端應用程序，它位於應用程序文件夾中的實用程序文件夾中。

在終端中，輸入以下命令，

接下來，你就會看到以下顯示窗口：

單擊安裝按鈕→安裝命令行工具→同意安裝→然後等待下載和安裝過程完成。

第四，你需要下載pkcrack源代碼。有些人可能對下載pkcrack源代碼有點反感，不過我們已經嘗試過了，這些下載的源代碼非常好用。

第五，你還需要在新的Mac上，拷貝過來一份已經被加密的文件在未加密時的備份。不過要確保文檔不是太大， 1000位元組左右將是最理想的大小。

這些條件都準備好以後，你可以從你的用戶文件夾中的某個地方運行這個被感染的文件，然後提取Info.plist文件里一部分（不用擔心，這個文件是不危險的。）解壓縮這個提取文件，你會發現一個名為Info.plist.part的文件，你以後會用到。

然後，你需要從加密系統上的惡意應用程序中提取加密的Info.plist.crypt文件。按住Control鍵並點擊惡意應用程序，然後從顯示的上下文菜單中選擇顯示包內容。在打開的窗口中，將有一個內容文件夾。裡面是一個名為Info.plist.crypt的文件，抓取該文件的副本。

編譯pkcrack

為了使用pkcrack，你需要對加密文件執行所謂的「已知明文攻擊」，這時你將利用之前下載的pkcrack源代碼編譯它，不過你應該將pkcrack源代碼解壓縮為：

src目錄中的文件就是你要找的文件。

不過，這個代碼不會在macOS上編譯。幸運的是，我們可以通過一些非常簡單的更改來實現這個編譯，就是對這些文件進行修復。利用Xcode或TextWrangler來編輯其中的幾個文件。

首先，打開名為Makefile的文件。在文件頂部附近將有一行顯示：

將6更改為2，如下所示：

然後保存並關閉文件。

接下來，您需要打開exfunc.c文件。找到頂部附近的行：

刪除此行，然後保存並關閉文件。

現在，重複此過程，直到刪除完全相同的行：

一旦完成這些，你就可以準備好編譯代碼了。幸運的是，這很容易操作。再次打開終端應用程序，並輸入以下內容，但不要按回車：

此時，你要注意在「cd」之後還有一個空格，所以一定要保留那個空格。

接下來，將src文件夾從pkcrack-1.2.2文件夾拖動到終端窗口，然後在src文件夾的路徑中插入命令。現在切換回到終端並按返回。這樣終端中的當前工作目錄就被更改為src文件夾。

最後，輸入以下命令：

然後開始編譯代碼，

沒有必要擔心窗口中的警告。如果你現在在src文件夾中看到以下文件，則代表編碼成功：

這些是Unix可執行文件，也稱為「二進位文件」。為了方便使用，將這些文件移動到單獨的文件夾中，比如你可以把它們放進一個「bin」文件夾，如下所示：

現在，我們將使用前面提到的Info.plist.crypt和Info.plist.part文件。將這些文件移動到bin文件夾。

接下來，回到終端，再次使用「cd」命令切換到bin目錄。然後，輸入以下命令：

這將產生一個名為Info.plist的文件，但其內容仍然加密。

當然，如果你不使用這個Info.plist文件，請用正在處理的文件的正確名稱替換這些名稱。如果正在處理的文件名中包含空格，則需要用引號把這些空格括起來中。例如：

現在您可以開始搜索秘鑰了。輸入以下命令：

同樣，請務必在包含空格的任何文件名中把這些空格括起來。

pkcrack應用程序將開始處理加密文件。根據文件的大小，處理時間可能會有不同，但對於我們樣本中的Info.plist文件，以及在我們測試時所用的高端MacBook Pro上，花了一分鐘。

不過它中間發生了兩次嘟嘟聲，終端顯示如下：

這是因為pkcrack試圖找到加密文件的密碼。

你可以利用這個方法，解密Info.plist.crypt文件，以及由Mac上的特定惡意軟體加密的任何其他文件。輸入以下命令：

在輸入此命令後，我們將創建一個新的，未加密的Info.plist.zip文件。雙擊此文件將它解壓縮。解壓的文件將包含一系列嵌套的文件夾，你可以通過這些文件找到的整個文件路徑，直到到達原始的，還未加密的文件。

不過事後補救終歸比不上事前防範，嘶吼編輯組建議大家還是加強安全防範意識，做好日常備份（最好是異地備份），不要訪問包含未知風險的網站或打開不明來歷的電子郵件附件，保持開啟殺毒軟體實時監控功能，並持續關注我們網站上關於勒索軟體的有關資訊。

本文參考來源於malwarebytes，如若轉載，請註明來源於嘶吼：解密被 Findzip 勒索軟體感染的文件更多內容請關注「嘶吼專業版」——Pro4hou