Công cụ giải mã Ouroboros Ransomware

Công cụ giải mã Ouroboros Ransomware

Ouroboros ransomware đã có hơn một năm dưới nhiều hình thức khác nhau, được vận hành bởi các nhóm tội phạm mạng khác nhau. Ouroboros, được biết đến là lây lan qua các cuộc tấn công tàn bạo qua giao thức Remote Desktop và các bản tải xuống lừa đảo, số lượng đáng kể nạn nhân trên toàn thế giới.

Ngay bây giờ chúng tôi vui mừng thông báo rằng đã sẵn sàng có một bộ giải mã mới có thể khôi phục các phần mở rộng tệp .Lazarus và .Lazarus + về nguyên bản ban đầu, như không bị mã hóa.

Xin lưu ý rằng công cụ này chỉ hoạt động cho các  mở rộng Lazarus và Lazarus +. Biến thể .Kronos vẫn đang được phân tích.
Làm thế nào để biết nếu bạn bị nhiễm biến thể cụ thể này của Ouroboros
Trên máy tính bị nhiễm, hầu hết các tệp được mã hóa và đổi tên thành tên tệp gốc cộng với  [ID=XXXXXXXXXX][Mail= * ].Lazarus  or [ID=XXXXXXXXXX][Mail= * ].Lazarus+ strings. ID bao gồm 10 ký tự ngẫu nhiên. Ngoài ra, Ouroboros sẽ tạo ra một số ghi chú tiền chuộc được gọi là Read-Me-Now.txt

Ransom Note Fig. 1: Lazarus ransom note Ransom NoteFig. 2: Lazarus+ ransom note

Nếu bạn bị nhiễm biến thể Lazarus này, bạn có thể tải xuống bộ giải mã ngay lập tức. Nếu bạn quan tâm đến cách thức hoạt động của Ouroboros, bạn có thể đọc chương tiếp theo.

Mô tả kỹ thuật ngắn gọn

Các tệp bị ảnh hưởng được mã hóa bằng thuật toán AES 256 CBC dựa trên các hướng dẫn  aesenc/aesenclast. Điều này ngăn phần mềm độc hại chạy trên các mô hình CPU cũ hơn (trước năm 2010)  mà thiếu hỗ trợ cho các hướng dẫn này.

Fig. 3: Thói quen mã hóa với sự hỗ trợ của AES-NI

Khởi tạo được sử dụng để mã hóa được mã hóa cứng thay vì được tạo và nó thay đổi theo từng phiên bản:

Fig. 4: Khởi tạo Lazarus

Fig. 5: Khởi tạo Lazarus+

Khóa được xây dựng bằng cách sử dụng kết hợp hai PRNG (bộ tạo số giả ngẫu nhiên), Mersenne Twister và IsaacRandom, bắt đầu từ bảng chữ cái sau:

Sau khi tạo khóa, ransomware cố gắng liên hệ với máy chủ để gửi khóa cùng với thông tin người dùng. Trong trường hợp không có phản hồi, khóa sẽ bị loại bỏ và được thay thế bằng khóa được mã hóa cứng:

Cách giải mã dữ liệu của bạn.

Bước 1: Tải xuống công cụ giải mã bên dưới và lưu nó ở đâu đó trên máy tính của bạn.

Công cụ này không yêu cầu kết nối Internet.

Bước 2: Bấm đúp vào BDOuroborosDecryptTool.exe và cho phép nó chạy ở mức cao tại dấu nhắc UAC.

Bước 3: Chấp nhận Thỏa thuận cấp phép người dùng cuối

Bước 4: Chọn Scan Entire System nếu bạn muốn tìm kiếm tất cả các tệp được mã hóa. Ngoài ra, chỉ cần thêm đường dẫn đến thư mục chứa các tệp được mã hóa. Chúng tôi thực sự khuyên bạn cũng nên chọn các tập tin sao lưu trong bộ phận sao lưu trước khi bắt đầu giải mã, nếu có bất cứ điều gì bất ngờ xảy ra trong quá trình này. Bắt đầu giải mã bằng cách nhấp vào nút Scan.

Ở cuối bước này, các tệp của bạn sẽ được giải mã. Công cụ tạo nhật ký hoạt động tại vị trí %temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt.
Nếu bạn cần hỗ trợ, liên hệ với chúng tôi theo địa chỉ phản hồi được liệt kê trong công cụ. Chúng tôi vui lòng yêu cầu bạn đính kèm tệp nhật ký được đề cập ở trên để giúp bạn cách ly các vấn đề tiềm ẩn và giảm thiểu thời gian phản hồi.

Triển khai tự động trên toàn mạng

Công cụ này cũng có thể được thực thi thông qua dòng lệnh. Nếu bạn cần tự động hóa việc triển khai công cụ trong một mạng lớn, bạn có thể muốn sử dụng tính năng này.
  • -help – provides information on how to run the tool silently (this information gets written in the log file, not on the console output) 
  • start – this argument allows the tool to run silently (no GUI)  
  • path – this argument specifies the path to scan 
  • test – this argument specifies the test path to a pair of original/encrypted files 
  • o0:1 – enable Scan entire system option (ignoring -path argument) 
  • o1:1 – enable Backup files option 
  • o2:1 – enable Overwrite existing files option 

Command line examples:  

BDOuroborosDecryptor.exe start -path:”C:\” -> the tool starts with no GUI and scans C:\  

BDOuroborosDecryptor.exe start o0:1 -> the tool starts with no GUI and scans the entire system 

BDOuroborosDecryptor.exe start o0:1 o1:1 o2:1 -> the tool scans the entire system, backs up the encrypted files and overwrites present clean files 

Acknowledgement

This product includes software developed by the OpenSSL Project, for use in the OpenSSL Toolkit.