看我怎样恢复被MaMoCrypt勒索软件加密的数据
发布时间:2021-06-11 00:54:31 所属栏目:安全 来源:互联网
导读:副标题#e# MaMoCrypt能够删除Windows卷影(ShadowVolume),并禁用防火墙以及UAC服务。这些功能在恶意软件领域中其实并不罕见,因此我们在此对其不做更深入的讨论。 它使用了Delphi的随机生成器(基于线性同余生成器)以及基于时间的DWORD种子(使用QueryPerform
|
for (int j = 0; j < SHA512_DIGEST_LENGTH; ++j)
key[i] ^= out[j];
} AES CBC的IV将使用AES 128 ECB生成,位置在一个16字节缓冲区内。类似的,Twofish NOFB的IV将使用Twofish 128 ECB生成,位置同样在一个16字节缓冲区内。掩码的初始内容生成如下: memset(mask_in, MASK_IN_SZ, 0);
memset(mask_out, MASK_OUT_SZ, 0);
for (int i = 0; i < 0x80; ++i) {
SHA1(mask_in, 0x84, mask_out);
*(int*)mask_in = i + 1;
*(mask_in + 3 + i + 1) = mask_out[0];
} 实际上,这种加密机制我们此前从未在其他勒索软件中见到过,而且恶意代码还会对整个文件系统进行加密,该勒索软件的硬编码文件和驱动器列表如下: (编辑:南平站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
