与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

思科发布免费解密工具ThanatosDecryptor

发布时间:2018-06-29 来源: 浏览次数:7402次


思科Talos团队通过分析Thanatos(一种勒索软件变体,在过去几个月里通过多次恶意软件活动传播),研究出一种新的免费解密工具,帮助受害者恢复被损毁的文件。

黑客在多次攻击活动中利用了多个版本的Thanatos,这意味着它是一个不断演变的威胁体。与网络传播的其他勒索软件不同,Thanatos不要求使用比特币等单一加密货币进行赎金支付。相反,研究人员观察到,它支持以比特币现金(BCH),ZcashZEC),以太坊(ETH)等形式支持赎金。此外,由于该赎金软件在加密过程中存在问题,即使受害者支付了赎金,黑客也无法将数据返回给受害者。虽然以前的报告似乎认为这是偶然的,但具体活动显示,这是中间人故意造成的。为了应对这种威胁,Talos发布了ThanatosDecryptor——一个免费的解密工具,利用了Thanatos使用的文件加密方法设计中的弱点。感染病毒受害者利用这个工具,就可以重新获得他们的数据。

运行机制

ThanatosDecryptor首先搜索与勒索软件相同的目录,以识别包含.THANATOS文件扩展名的文件。对于包含.THANATOS文件扩展名的文件,解密程序将获得原始文件扩展名(在感染过程中保持不变),并将其与支持的文件类型列表进行比较。如果支持文件类型,解密程序会将该文件加密排队以解密。

ThanatosDecryptor还将解析Windows事件日志中的正常运行时间消息,并使用加密的文件创建时间元数据来确定解密的起始值。该值用于生成加密密钥,并对文件内容执行AES解密操作,然后将产生的字节与已知的特定文件类型的有效文件头的值进行比较。如果它们不匹配,意味着解密过程不成功,那么加密密钥的种子值就会增加,这个过程就会重复。一旦成功,将原始文件写入文件系统,并恢复原始文件名。

推荐新闻

外媒称又一款Facebook应用泄露数据:300万用户揪心!

2018-05-15

北京时间5月15日早间消息,美国媒体New Scientist报道称,有研究者在Facebook平台上开发了性格测...

航班追踪服务Flightradar24遭遇数据泄露 称超过23万用户受影响

2018-06-22

Flightradar24可以说是目前全球最受欢迎的航班跟踪服务之一,它借助谷歌地图与航空信息,使得用户不但能...

41Gb、14亿个登录凭证 史上信息量最大的数据库在线曝光

2018-01-03

4IQ是一家位于美国洛斯加托斯的网络情报技术公司,其整合了网络、社交媒体、暗网等的内外部OSINT源,主要为国防和...

国内某论坛遭黑客用作C&C服务器 利用Struts 2漏洞开展挖矿活动

2018-06-28

F5实验室的威胁研究人员发现了一起针对Apache Struts 2服务器的新活动,使用了Apa...

英国电子商务提供商遭遇数据泄露,致140万在线购物者隐私曝光

2018-08-01

近日,许多在英国服饰和配饰在线购物网站上消费的购物者遭遇了一件并不愉快的事情,因为他们的个人信息已经被确认遭到了泄...



Copyright ©2006-2020 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部