如何恢复被MaMoCrypt勒索软件加密的数据 - 行业资讯 - 肥雀云

这篇文章主要讲解了“如何恢复被MaMoCrypt勒索软件加密的数据”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“如何恢复被MaMoCrypt勒索软件加密的数据”吧！

写在前面的话

MaMoCrypt是一款臭名昭著的勒索软件，该勒索软件从去年的十二月份开始活跃，深受其害的用户可以算是不计其数了。那么在这篇文章中，我们将告诉大家如何恢复、解密被MaMoCrypt勒索软件加密的数据。

MaMoCrypt是一款非常与众不同的勒索软件，这款勒索软件采用Delphi开发，并且使用了mpress进行封装，是MZRevenge的一个变种版本。

勒索软件行为

MaMoCrypt能够删除Windows卷影(ShadowVolume)，并禁用防火墙以及UAC服务。这些功能在恶意软件领域中其实并不罕见，因此我们在此对其不做更深入的讨论。
它使用了Delphi的随机生成器(基于线性同余生成器)以及基于时间的DWORD种子(使用QueryPerformanceCounter或GetTickCount)，此时将会生成两个缓冲区，其中的数据会使用Base64进行编码，并添加MZRKEYPUBLIC /MZRKEYPRIVATE字符串。
根据上述的两个密钥以及一个掩码，该勒索软件将会针对每个文件生成两个加密密钥，随后将会使用它们来进行文件加密。它首先会使用AES 128 CBC来进行文件内容加密，然后再使用Twofish 128 NOFB来对其进行二次加密。AES加密过程中剩余的16%内容将使用AES 128 CFB进行加密，所有加密文件的后缀名都会添加一个“.MZ173801”。
加密完成之后，恶意软件会再次枚举所有加密目录，并分别存放勒索信息，而勒索信息中也会包含对应的那两个MZR密钥。

虽然MZR密钥在密钥生成或加密的过程中不会发生变化，但掩码会持续更新。它们的生成基于的是SHA1、SHA512和某些自定义算法的混合计算结果。每一个AES和Twofish密钥还会使用SHA512进行16次计算以及字节异或。

掩码和密钥生成

*(int*)mask_in = offset;   for (int i = 0; i < 0x800; ++i) {          SHA1(mask_in, 0x84, mask_out);       *(int*)mask_in = i + 1 + offset;       *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];       mask[i] = mask_out[1];   }   offset += 0x800;   aes_key = generate_key(mask, mzrkey_private.c_str(), 0x800, mzrkey_private.size());      for (int i = 0; i < 0x200; ++i) {      SHA1(mask_in, 0x84, mask_out);       *(int*)mask_in = i + 1 + offset;       *(mask_in + 3 + (i & 0x7F) + 1) ^= mask_out[0];       mask[i] = mask_out[1];   }   offset += 0x200;   twofish_key = generate_key(mask, mzrkey_public.c_str(), 0x200, mzrkey_public.size());  generate_key:   int mzrkey_size_bswap = _byteswap_ulong(mzrkey_len);   int mask_size_bswap = _byteswap_ulong(mask_len);   for (int i = 0; i < key_SIZE; ++i) {     ((int*)in)[0] = _byteswap_ulong(i);     for (int j = 0; j < i; ++j)        in[j + 4] = key[j];     *((int*)(in + 4 + i)) = _byteswap_ulong(1);     *((int*)(in + 8 + i)) = mask_size_bswap;     memcpy(in + 3 * sizeof(int) + i, mask, mask_len);     memcpy(in + 3 * sizeof(int) + mask_len + i, &mzrkey_size_bswap, 4);     memcpy(in + 3 * sizeof(int) + mask_len + 4 + i, mzrkey, mzrkey_len);     SHA512(in, mask_len + mzrkey_len + 4 * sizeof(int) + i, out);     for (int j = 0; j 如何恢复被MaMoCrypt勒索软件加密的数据