Ouroboros ransomware đã có hơn một năm dưới nhiều hình thức khác nhau, được vận hành bởi các nhóm tội phạm mạng khác nhau. Ouroboros, được biết đến là lây lan qua các cuộc tấn công tàn bạo qua giao thức Remote Desktop và các bản tải xuống lừa đảo, số lượng đáng kể nạn nhân trên toàn thế giới.

Ngay bây giờ chúng tôi vui mừng thông báo rằng đã sẵn sàng có một bộ giải mã mới có thể khôi phục các phần mở rộng tệp .Lazarus và .Lazarus + về nguyên bản ban đầu, như không bị mã hóa.

Fig. 1: Lazarus ransom note Fig. 2: Lazarus+ ransom note

Nếu bạn bị nhiễm biến thể Lazarus này, bạn có thể tải xuống bộ giải mã ngay lập tức. Nếu bạn quan tâm đến cách thức hoạt động của Ouroboros, bạn có thể đọc chương tiếp theo.

Mô tả kỹ thuật ngắn gọn

Các tệp bị ảnh hưởng được mã hóa bằng thuật toán AES 256 CBC dựa trên các hướng dẫn  aesenc/aesenclast. Điều này ngăn phần mềm độc hại chạy trên các mô hình CPU cũ hơn (trước năm 2010)  mà thiếu hỗ trợ cho các hướng dẫn này.

Fig. 3: Thói quen mã hóa với sự hỗ trợ của AES-NI

Fig. 4: Khởi tạo Lazarus

Fig. 5: Khởi tạo Lazarus+

Khóa được xây dựng bằng cách sử dụng kết hợp hai PRNG (bộ tạo số giả ngẫu nhiên), Mersenne Twister và IsaacRandom, bắt đầu từ bảng chữ cái sau:

Sau khi tạo khóa, ransomware cố gắng liên hệ với máy chủ để gửi khóa cùng với thông tin người dùng. Trong trường hợp không có phản hồi, khóa sẽ bị loại bỏ và được thay thế bằng khóa được mã hóa cứng:

Cách giải mã dữ liệu của bạn.

Bước 1: Tải xuống công cụ giải mã bên dưới và lưu nó ở đâu đó trên máy tính của bạn.

Công cụ này không yêu cầu kết nối Internet.

Bước 3: Chấp nhận Thỏa thuận cấp phép người dùng cuối

Bước 4: Chọn Scan Entire System nếu bạn muốn tìm kiếm tất cả các tệp được mã hóa. Ngoài ra, chỉ cần thêm đường dẫn đến thư mục chứa các tệp được mã hóa. Chúng tôi thực sự khuyên bạn cũng nên chọn các tập tin sao lưu trong bộ phận sao lưu trước khi bắt đầu giải mã, nếu có bất cứ điều gì bất ngờ xảy ra trong quá trình này. Bắt đầu giải mã bằng cách nhấp vào nút Scan.

Triển khai tự động trên toàn mạng

• -help – provides information on how to run the tool silently (this information gets written in the log file, not on the console output) 
• start – this argument allows the tool to run silently (no GUI)  
• –path – this argument specifies the path to scan 
• –test – this argument specifies the test path to a pair of original/encrypted files 
• o0:1 – enable Scan entire system option (ignoring -path argument) 
• o1:1 – enable Backup files option 
• o2:1 – enable Overwrite existing files option 

Command line examples:  

BDOuroborosDecryptor.exe start -path:”C:\” -> the tool starts with no GUI and scans C:\  

BDOuroborosDecryptor.exe start o0:1 -> the tool starts with no GUI and scans the entire system 

BDOuroborosDecryptor.exe start o0:1 o1:1 o2:1 -> the tool scans the entire system, backs up the encrypted files and overwrites present clean files 

Acknowledgement: 

This product includes software developed by the OpenSSL Project, for use in the OpenSSL Toolkit.