解密被 Findzip 勒索軟體感染的文件

專門針對OS X的勒索軟體Findzip(亦稱Filecoder)是在2017年2月22日被發現的。近日,國外安全專家發現Findzip是通過BitTorrent網站傳播的,MalwareBytes研究人員Thomas Reed發現,那些受到Findzip 感染的MacOS用戶,即使支付了贖金也不會得到黑客提供的密鑰。

因為專家們發現被Findzip加密的文件具有不可逆性,所以如果MacOS用戶被Findzip感染了,就只有干著急了。

不過事情並不是絕對的,經過嘶吼編輯組的不懈努力,我們還是發現了一些能夠解密Findzip加密文件的方法。

不過在恢復文件之前,你需要先做好一些準備工作:

1.重新使用一台Mac

2.使用0Xcode開發環境或TextWrangler文本編輯器

3.執行Xcode命令行工具

4.下載pkcrack源代碼

5.複製一份已經被Findzip加密的文件

首先,你需要重新使用一台Mac,這就像在受感染的Mac上新建一個用戶帳戶。

如果你需要在Windows或Linux計算機上進行解密操作,你就需要弄清楚如何在非系統Mac系統上編譯和使用pkcrack工具。

第二,你需要使用蘋果的Xcode開發環境或一個方便操作的文本編輯器。 從理論上講,Xcode開發環境是最理想的解密操作環境,但由於Xcode的下載文件太大,大多數人可能不會使用這個操作環境,所以除非你非要下載Xcode,否則我們還是你建議下載TextWrangler。TextWrangler是許多的Mac使用者最常用的文字編輯器之一,TextWrangler既是一個方便的文本編輯器,也是非常輕巧的代碼開發工具,內置了包括HTML/XHTML, XML, PHP, JavaScript, Perl, Python, Ruby, Lua, Java, ANSI C, C++, Objective-C等幾十種語言的語法。

第三,你需要安裝Xcode命令行工具,不過你不需要實際安裝Xcode。如果你沒有Xcode的副本,請打開終端應用程序,它位於應用程序文件夾中的實用程序文件夾中。

在終端中,輸入以下命令,

接下來,你就會看到以下顯示窗口:

單擊安裝按鈕→安裝命令行工具→同意安裝→然後等待下載和安裝過程完成。

第四,你需要下載pkcrack源代碼。有些人可能對下載pkcrack源代碼有點反感,不過我們已經嘗試過了,這些下載的源代碼非常好用。

第五,你還需要在新的Mac上,拷貝過來一份已經被加密的文件在未加密時的備份。不過要確保文檔不是太大, 1000位元組左右將是最理想的大小。

這些條件都準備好以後,你可以從你的用戶文件夾中的某個地方運行這個被感染的文件,然後提取Info.plist文件里一部分(不用擔心,這個文件是不危險的。)解壓縮這個提取文件,你會發現一個名為Info.plist.part的文件,你以後會用到。

然後,你需要從加密系統上的惡意應用程序中提取加密的Info.plist.crypt文件。按住Control鍵並點擊惡意應用程序,然後從顯示的上下文菜單中選擇顯示包內容。在打開的窗口中,將有一個內容文件夾。裡面是一個名為Info.plist.crypt的文件,抓取該文件的副本。

編譯pkcrack

為了使用pkcrack,你需要對加密文件執行所謂的「已知明文攻擊」,這時你將利用之前下載的pkcrack源代碼編譯它,不過你應該將pkcrack源代碼解壓縮為:

src目錄中的文件就是你要找的文件。

不過,這個代碼不會在macOS上編譯。幸運的是,我們可以通過一些非常簡單的更改來實現這個編譯,就是對這些文件進行修復。利用Xcode或TextWrangler來編輯其中的幾個文件。

首先,打開名為Makefile的文件。在文件頂部附近將有一行顯示:

將6更改為2,如下所示:

然後保存並關閉文件。

接下來,您需要打開exfunc.c文件。找到頂部附近的行:

刪除此行,然後保存並關閉文件。

現在,重複此過程,直到刪除完全相同的行:

一旦完成這些,你就可以準備好編譯代碼了。幸運的是,這很容易操作。再次打開終端應用程序,並輸入以下內容,但不要按回車:

此時,你要注意在「cd」之後還有一個空格,所以一定要保留那個空格。

接下來,將src文件夾從pkcrack-1.2.2文件夾拖動到終端窗口,然後在src文件夾的路徑中插入命令。現在切換回到終端並按返回。這樣終端中的當前工作目錄就被更改為src文件夾。

最後,輸入以下命令:

然後開始編譯代碼,

沒有必要擔心窗口中的警告。如果你現在在src文件夾中看到以下文件,則代表編碼成功:

這些是Unix可執行文件,也稱為「二進位文件」。為了方便使用,將這些文件移動到單獨的文件夾中,比如你可以把它們放進一個「bin」文件夾,如下所示:

現在,我們將使用前面提到的Info.plist.crypt和Info.plist.part文件。將這些文件移動到bin文件夾。

接下來,回到終端,再次使用「cd」命令切換到bin目錄。然後,輸入以下命令:

這將產生一個名為Info.plist的文件,但其內容仍然加密。

當然,如果你不使用這個Info.plist文件,請用正在處理的文件的正確名稱替換這些名稱。如果正在處理的文件名中包含空格,則需要用引號把這些空格括起來中。例如:

現在您可以開始搜索秘鑰了。輸入以下命令:

同樣,請務必在包含空格的任何文件名中把這些空格括起來。

pkcrack應用程序將開始處理加密文件。根據文件的大小,處理時間可能會有不同,但對於我們樣本中的Info.plist文件,以及在我們測試時所用的高端MacBook Pro上,花了一分鐘。

不過它中間發生了兩次嘟嘟聲,終端顯示如下:

這是因為pkcrack試圖找到加密文件的密碼。

你可以利用這個方法,解密Info.plist.crypt文件,以及由Mac上的特定惡意軟體加密的任何其他文件。輸入以下命令:

在輸入此命令後,我們將創建一個新的,未加密的Info.plist.zip文件。雙擊此文件將它解壓縮。解壓的文件將包含一系列嵌套的文件夾,你可以通過這些文件找到的整個文件路徑,直到到達原始的,還未加密的文件。

不過事後補救終歸比不上事前防範,嘶吼編輯組建議大家還是加強安全防範意識,做好日常備份(最好是異地備份),不要訪問包含未知風險的網站或打開不明來歷的電子郵件附件,保持開啟殺毒軟體實時監控功能,並持續關注我們網站上關於勒索軟體的有關資訊。

本文參考來源於malwarebytes,如若轉載,請註明來源於嘶吼: 解密被 Findzip 勒索軟體感染的文件 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

截止到2016年5月26號,對滬深兩市的大級別波浪應該怎麼劃分?
「無文件」惡意程序攻擊技術還原
PayPal某站價值1W美金的RCE漏洞
實例分析:趨勢

TAG:技术分析 | 解密 |