勒索病毒GandCrab1.4-5.1解密工具.rar

2019-2-25 admin 安全工具

正月十五元晚上,在家刚吃完元宵接到电话,朋友公司遭受勒索病毒攻击,数据库文件被加密,黑客通过暗网勒索 15000 美金赎金。一听勒索软件,顿时觉得头大,只好死马当活马医了,开始行动。先看下病毒在每个目录留下的 txt 文件 CVMKJ-DECRYPT.txt。可以看到该病毒的名称及版本,GandCrab v5.1,一顿百度,了解到,之前已经有某安全厂商对此病毒进行了一系列分析,直接拿来主义,站在巨人肩膀上。病毒加密文件如下,已脱密处理:

经了解,该病毒为 GrandCrab 家族的最新变种,采用 RSA+AES 结合的加密算法,中毒后多目录下会保存一个名为 CVMKJ-DECRYPT.txt 的文件,且文件后缀.cvmkj 为随机字符,本案例中为.cvmkj。该入侵一般通过 rdp 弱口令爆破登陆,后通过 url 下载病毒,或通过手动投毒。为扩大战果,通过下载内网扫描工具,继续对内网进行爆破扫描。

回到本案例,查看日志,发现 windows envent log 服务被关闭,系统安全日志被整段删除,由 2015 年底一下跳到应急 2019 年 2 月 20 日。在一番 kill 相关进程后,windows envent log 重启成功,随后继续排查。

查看本地用户,发现 Administrators 组中多出一个名为 admin1 的管理员用户,命令 net user admin1,发现该用户为 Administrators 组成员,且最近登录时间为 2019 年 2 月 19 日 01:08,说明该服务器已经完全沦为黑客肉鸡。继续排查,通过删除文件恢复,发现黑客曾经在 download 目录中下载了 NLBrute    1.2 工具,并且使用名为 passCina1.txt 的密码字典进行了内网爆破。通过询问管理员,发现管理员使用弱口令密码,更确信黑客通过 rdp 爆破入侵。随后使用 Process Monitor 对内存中的进程进行监控分析,未发现病毒样本,重新创建相关数据文件,重起服务器,未发现新文件被加密。经询问管理员得知,管理员在第一时间在进程管理中发现一个名为 process hack2 的进程,并将其删除。   

正当焦头烂额,无计可施之际,上海安服朋友群内推送一篇文章,国外大牛于 2019 年 2 月 19 日刚发布了GandCrab v5.1 解密工具,但还无人测试成功,本着死马当活马医的态度,下载测试之。

接下来,就发生了见证奇迹的时刻,一条条 ok 记录出现在软件输出栏内,再去对应路径查看文件,真的解密成功了!上面为 20190204 文件被加密源文件,类型 CVMKJ,下面为 20190220 解密后得到 office 文件。

最后,本着开源精神,公布工具下载解密工具
勒索病毒GandCrab5.1解密工具.rar

X
支付宝、微信、QQ 扫一扫
求打赏,狠狠的羞辱我

评论:

棋游之家
2019-02-28 16:05
学到了新知识。
丘八
2019-02-26 17:09
文章不错,非常喜欢

发表评论:

Powered by X兵器库 桂ICP备16000990号
sitemap
返回顶部