Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:15853 篇
已收录公众号数量:90 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
Dibrary 第二季——好书推荐预告   2020.11.26 17:54:30  33
我拿到月薪3W的offer了   2020.11.29 22:20:04  31
CVE-2019-11580 RCE漏洞分析   2020.11.29 15:01:02  31
千万别把钱放在余额宝里!!!   2020.11.27 19:00:58  31
CVE-2020-14882​&14883:Weblogic RCE复现   2020.11.27 17:40:52  31
MySQL 漏洞利用与提权   2020.11.24 15:00:30  31
天融信科技集团正式完成公司更名   2020.11.26 10:45:21  30
已收录微信公众号
网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
好消息!国外发布STOP等几款勒索病毒最新解密工具
本文来自公众号:安全分析与研究   2019.09.30 08:45:06


点击蓝字关注我们


目前勒索病毒仍然是全球最大的威胁,最近一年针对企业的勒索病毒攻击越来越多, 不断有新型的勒索病毒出现,各企业一定要保持高度的重视 ,大部分勒索病毒是无法解密的,国外安全公司和研究人员在不断努力开发各种勒索病毒的解密工具,好消息,最近公布了STOP等几款勒索病毒最新的解密工具


WannaCryFake勒索病毒

Emsisoft发布了WannaCry Fake勒索病毒解密工具,该勒索病毒加密后的文件后缀名为[][recoverydata54@protonmail.com].WannaCry,采用AES-256算法加密文件,勒索提示信息,如下所示:

解密器下载地址:

https://www.emsisoft.com/ransomware-decryption-tools/wannacryfake

卡巴斯基发布Yatron和FortuneCrypt勒索病毒解密工具

Yatron勒索病毒加密后的文件后缀名Yatron,如下所示:

该勒索病毒是基于HiddenTear开源代码进行编写的,主要受害者来自德国、中国、俄罗斯联邦,印度和缅甸

FortuneCrypt勒索病毒,加密后的文件不使用特殊的后缀名,勒索提示信息,如下所示:

卡巴斯基勒索病毒解密工具下载地址:

https://noransom.kaspersky.com/

最新的解密工具可以解密上面两款勒索病毒,下载地址:

https://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip

STOP勒索病毒

STOP勒索病毒主要经历了三个版本的变种:

1.加密后缀为大写字母,例如:DATAWAIT、KEYPASS、WHY、INFOWAIT等

2.加密后缀为以puma开头变种,例如:puma、pumas、pumax等

3.Djvu类变种,此变种使用了很多随机的扩展名,2019年8月底之前的加密后缀,如下所示:

.djvu,.djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude,.tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock,.promoks, .promorad, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope,.kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat,.roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa,.verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut,.fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap,.radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset,.davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, ,vesad,.horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas,.godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue,.darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access,.format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, prandel,.zatrov, .masok, .brusaf, londec, .krusop, .mtogas, .coharos, .nasoh, .nacro,.pedro, .nuksus, .vesrato, .masodas, .stare, .cetori, .carote,

2019年8月底,出现了新的版本,使用了最新的加密后缀,如下所示:

.shariz,.gero, .hese, .geno, .seto, .peta, .moka, .meds, .kvag, .domn, .karl,.nesa,.boot

该勒索病毒勒索提示信息类似如下所示:

STOP勒索病毒解密主要分以下三种情况:

1.早期部分病毒版本由于其服务器生成密钥接口存在缺陷,当第一次请求接口时,服务器生成返回新的Key数据,而当再次访问密钥生成接口,服务器则会把该mac请求生成过的Key直接返回,针对此bug可拿到密钥实现解密。

2.病毒使用Key生成接口失活情况下,病毒会使用离线Key进行加密,该情况下,也可实现解密

3. 病毒加密时使用了在线生成的Key,且后续无法通过其对应的服务接口获得Key信息,此情况暂时无法解密


此前公布的离线的KEY解密密钥,如下所示:

6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0  djvu* variants, .promos

D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VBb  rumba

cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1

promoz,.promock, .promorad

TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1    .promok

0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDosJ24DmXt1  .promorad2

upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1        .kroput, .kroput1

neFMH56G5TY6gLqHS6TpWwfIPJF1mKg4FvpeNPt1   .charck

0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDos224DmXt1  .kropun

rdSXuFaXQZ5zsBX7nzxYC2hgkTkducsD7tuV95t1      .doples, .luces, .luceq, .chech

AlMcLobh5J6wVB2Iy10guKr1kpSuFBWfXIsI6Et1        .pulsar1

abIsuTknpjAqoGRR7OZL5HDDmc843XjBxrQOIot1    .proden

dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1        .drume, .tronas, .trosak

sC0oYeg1wSkjbjkEwQcxTXzA0EOp8Tnc35seYQt1      .grovas

vElBnRCjG17HPbVSb8mw2WKW8uIBUDp5gbuiZat1  .grovat, .raldug

R11Dxz37SHHVuv5otlFtzJiXUIPwPzmP6gV8gmv9       .roland

r77yXePcnmrctJPWrZCcbJgUlAtOa1FC9Na710t1        .etols, .guvara

1OcNMvbG9a2vBz0BdsXRX88kjuVX9ku4EmR64St1   .norvas

PBADSc0wL8KOzd5eGIaVThjIPeGxRqrsQgvU3qt1      .moresa

fCuKTg0kzQEXr1ewwlkMM3sl8ZzT1uEg7811p2t1        .verasto

qn2YpOJW8NoI4X3pchKLemMVHE6hbUPemTQPlMt1  .hrosas

e4Z7Ued2uSyQfbA7vS8VKtF2dGKGH8qEQ4E1Uht1   .kiratos

54SYshdMLwmLmgvVGWUrb336u3jYwOthqtuie5t1   .todarius

SFOGVV9L1s8tgZVtOy4lff6n3MEgUwud5fQUdHt1      .roldat

zC2lfjIocaJoC8hWBB1yhTK2ecfIMchQ47Dkylt1          .dutan

pQseAIqgTVhPujMMiqH1ILPNUg3soGVim0NAnkt1    .sarut

nBxtbGaG4zYZQuwkRqP7d0zTIAyt6ZTtAqWL77t1      .berost

jWOnMXbnka33AZT1RlCj0QSRbhhZHNASDvqHrDt1  .forasom

6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0  .shadow

QP5YonPPBgUP0qNuS7DV82bMzke5YFYqXbRlobt1 .fordan

PTWLJBvUTDlF6G52Fs8Fmm7egqpfWrghp1m2Bot1  .codnat

BvxonHH8kgX9meHfJweaV5ONlpO6f7IRCff0XXt1     .dotmap

mlKnUMskuvLAnwjqZpgNMoxWdYebTiuT9DMf4Vt1  .ferosas

t9hLELb8KHIC5gKnzv1k3CPJ5qpiqNZiyV5vhHt1       .rectot

JjkJ9drSkbRY2LR4ZeDjOJxCYgt4zs6svaNadvt1       .skymap

tgDlcFW2xFWyJx7JxqpZ8dNSOchUAMejoGdvf2t1   .mogera

C1WKOJdn7siJOSKrKnoKRy5tH9aSxwMzpaUzgst1  .rezuc

ljT0FEceXZLV8Gyhp3cCAcKbq8v85tmqMgqrVCt2     .stone

faLqfTl9yJBMMKsPhAv8WKbIdsFgqRtco70kHSt1     .lanset

7wlgj03aBeU43xA1mJMBMvyvGs6wERcrV31xRrt1   .davda

61K3jGfHzi5nWYLCgt3ZT7zGffHm0DNV9TGbdit1       .poret

bDDtqPBV1xkOfMNIpmkdcyeVXG71BNezzpQwsKt1  .pidon

xUHIDCdB9IpEd1BBxXWhkitDLMP8oSzQeEYlr0t1    .heroset

dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1      .muslat

xUHIDCdB9IpEd1BBxXWhkitDLMP8oSzQeEYlr0t1    .boston

PpzYa3nBba2MZq4MUGgxoZcZ7cbXBKtzNcipyRt1   .gerosan

3O3Zn4LeBG8kkWwS2nX61CWiHLZ46k1s632Cg9t1  .vesad

JtkQUrpVXQB69IB5uUcXQ248Wj0DM9fjtaSThgt1      .horon

fl1QN31tuQBZKd6Q43Bemee0EycF0HBYEjwpQTt1   .neras

llb5PDChmUj6x2qLPtnlsS01VQMr9BBnhSGvh7t1     .truke

PrHLxGQfozsYqIt6y8iByGll1cv9doSVfPSfS2t1           .dalle

ppAG2IEqjVWKxLoaeeEd2ondL6Wu9aHAHA2NBrt1  .lotep

rZ9BMQqcE4sEMWkbGhgD1ChaoDbgM3kORd7kowt1 .nusar

iagsMxds3LxpDLrrIrIVlqmVQ2P4y09QCIrzCYt1          .litar

3OfV7t3oSHGMTLJX2O7gTxqnrYXWDDEq84VwC3t1  .besub

MRrOmiaGsrOBV5WeKx9PFMAoug3J1vvarRjmmut1  .cezor

l3uWOVCfd45q50p4PU204j5qPpRzALYbMPJ9Tft1      .lokas

b0kzBppljIqs9PmJj4Y6ifw5JaTn9PNkPk9vtmt1          .godes

jkO9OpMIRJ4FHeGDM7eK5FwJTcY40YKkizu7Zgt1  .budak

5wsxlijK7NqgKc3n9oC4xlykfU4y5YJtIQlGWJt1          .berosuce

jkO9OpMIRJ4FHeGDM7eK5FwJTcY40YKkizu7Zgt1  .herad

5wsxlijK7NqgKc3n9oC4xlykfU4y5YJtIQlGWJt1          .gehad

68O9eTFDNbn8z2O956vweaL1v2GY5gvWBYMKcmt1  .gusau, .madek

JAQsbdGcS17nh0dWQNvV5DXXOFilhogs4lpKitt1    .tocue

ZivCxija0GBwtwtwD0q4JRy80spT6lUyybPYhot1        .lapoi

Q2fNGjIEoR7J8UnURFiIH13JGa23UqaNUDz4ret1      .todar

tC9q9U9z1CHXj6ywfSklY5Ati8qfrhwcOEQpvQt1       .dodoc

qzVmsmPsBbMag5eclxPzsGPYPtD0idScDzpGvxt1  .bopador, .novasof

9sbdJHqXJM4N6uliOFljF4lS1kQ5MipUBQqeGet1    .ndarod

ReORV6ShrtWNuJ0ceWs0HqhvCbzW3XJQmmwGQpt1  .access

rDy9PQ5XqCEzGPAYiMtrOElRFd84gmoSzf1zJ8t1      .format

4SsNNoDBzRHoERsNCDJXFi0OetZhqz2yruT2Ltt1    .nelasod

TMO0nHR6LIOplVaj1m0fAhi7jQPCKQZq7MvRyPt1    .mogranos

4nFS2MhU3pYPtDdwqd6UIb0hZ2RnKYsvKn5ulTt1  .lotej

OX1w8v9Jmd3MFmBNmyayqkKHZVCmsLJUsWqShmt1  .prandel

ivLdLLWxlGwaYapVamTFrmgK1ZxvQk2JUWsWzit1   .zatrov

SGZBpcieKig3iLvgEDD4ATxonPIBduMgKzsfiQt1       .masok

gcHHxnoOwYHRVl7TXkAxlhASj14vAVxvmOWun2t1  .cosakos, .nvetud

4nFS2MhU3pYPtDdwqd6UIb0hZ2RnKYsvKn5ulTt1  .kovasoh

q9KuzOzkH3m0RZiU9yD24sgV2jlQpgldjv0uODt1      .brusaf

JIuJ2wGghVvWM1cAKi9uwEqTSvu42tb7ooa7Rit1   .londec

ngQjbO3d7JuwM40bYYzdx9KhkhTRVvuLevPlbrt1  .krusop

ILhWAvjUyWzsKyxDL0dKq3Su6QUUpndwXWfa2Nt1  .mtogas

XIcCeHxN38dLD0Yg0cN7CdKtidQv0JQEm8hKIlt1    .nasoh

gyTwIW8EFRyrHBHcn0bFVHerzI3NtAa14YK0kst1     .nacro

98sPqhSP6fu4VGWnM1G9A075ZFxi5MMVRr2Limt1  .pedro

AejWZezSEZGqqdJANfzMilEs9Ns6YgqnOqJDOgt1  .vesrato

irtRoAwZBsG2xlRr6IAT6XJOVqA6I5bPZ0onRvt1       .masodas

9HGTCt5KWHhAMQlcARxO5A6jkqiYUs64aMYNg3t1  .nuksus

Nk780H58ZxM4dZ5H8DRqyzWzhAZZ1G1J4gYxrtt1    .cetori

6qLyfMFPsdHt0N7fRSGoXRvhOjNiMSIf6ovWntt1     .stare

hvKVwn4fNn8A1rpjC19CUFmS1ySGycmqdrz89zt1   .carote

如果加密后缀为以上加密后缀,同时使用的离线密钥进行加密的,可下载如下STOP解密工具进行解密,下载地址:

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

2019年8月后此勒索病毒的最新变种使用了新的加密后缀,导致前面离线key的解密工具无法解密,最近国外安全研究人员又公布了最新变种的一批离线Key,如下所示:

包含加密后缀:gero、hese、meds、moka、peta等,最新解密工具下载地址现在已失效,如下所示:

通过相关渠道下载最新的STOP解密工具,如下所示:

说明文档里面包含最新的多个变种离线KEY密钥,如下所示:

最新STOP勒索病毒解密工具主界面,如下所示:

关注此微信公众号,回复: 解密工具,即可获取STOP最新解密工具百度网盘下载地址


最近针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,各企业一定要高度重视,黑产团伙一直在寻找新的攻击目标......


知识星球天天威胁情报内容播放

MegaCortex勒索病毒、Vidar窃密木马、FlawedAmmyy RAT远控

Mirai变种、 Keybase键盘记录器、Ouroboros勒索病毒


往期精彩回顾

揭密网络犯罪商业模式及其价值链


最后欢迎大家关注此公众号,这里不扯一些“假大空”的安全概念和框架,只有实实在在最基础的安全研究、最新的威胁情报、安全事件剖析、以及笔者的一些安全观点与看法


知识星球天天威胁情报每天都会提供全球最新的恶意样本信息,每天会分享各种安全技术文章, 欢迎加入, 跟我一起分析与 研究真正的网络安全攻击行为 全球黑产团队 组织活动情报 ,加入星球的朋友还可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴

加入知识星球,安全的路上,我们一路前行

长按识别二维码加入星球

安全的路很长,贵在坚持......



觉得内容还不错的话,给我点个“在看”呗