探索网络安全新技术
攀登黑客技术最高峰

.LIVE勒索病毒正在大规模传播 请及时修复(附勒索解密代码)

.LIVE勒索病毒于2023年12月左右开始传播,利用多种加密算法对受害者重要文件和系统进行加密,被成功加密的文件会以 .LIVE后缀结尾。

.LIVE勒索病毒正在大规模传播 请及时修复(附勒索解密代码)-威武网安

黑客通过暴力破解远程桌面、漏洞利用等方式攻入受害者电脑后进行投递,加密成功后,向用户索要赎金,对用户构成较大的安全威胁。

威武网安建议广大用户做好相关防御措施,避免不可逆的损失:

1、使用强密码,并定期更改密码,以防御黑客进行的暴破攻击。

2、定期修复系统和软件漏洞,安装高危补丁,减少LIVE病毒入侵的机会。

3、使用可靠的安全软件,并及时更新病毒库和安全规则,确保实时的保护和检测。

4、定期开展员工网络安全培训,在.LIVE病毒入侵时,员工可以快速识别和应对。

解密代码:

根据样本的加密算法和末尾附加的数据可以写出对应的解密 demo:首先剔除由勒索信 ID 转换成的 64 位整数值,然后读取 4 bytes 文件名长度并以此来获取原始文件名,最后逆向解密算法并根据原始文件名重命名即可。

import os
encryption_key = [0xAA, 0x7C, 0xD1, 0xCD, 0x7B, 0xCE, 0x68, 0x62]
encryption_iv = [0x46, 0x45, 0xC3, 0xF7, 0xBF, 0x93, 0xEE, 0xA0]
def read_file(file_path):
with open(file_path, 'rb') as file:
content = file.read()
return content
def write_file(file_path, content):
with open(file_path, 'wb') as file:
file.write(content)
def decrypt_and_rename(file_path):
content = bytearray(read_file(file_path))
filename_length = int.from_bytes(content[-12:-8],'little') #剔除由勒索信 ID 转换成的 64 位整数值
filename = content[-12-filename_length:-12].decode('ascii') #读取 4 bytes 文件名长度并以此获取原始文件名
content = content[:-12-filename_length] #获取加密内容
for a in range(len(content) >> 3): #解密算法
for b in range(8):
encryption_iv[b] = ((encryption_iv[b] ^ encryption_key[b]) + 13) % 256
content[8 * a + b] ^= encryption_iv[b]
write_file(file_path,content)
os.rename(file_path,filename)
file_path = r'6778763573924834144.LIVE' #勒索文件名
decrypt_and_rename(file_path)

.LIVE勒索病毒正在大规模传播 请及时修复(附勒索解密代码)-威武网安

打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《.LIVE勒索病毒正在大规模传播 请及时修复(附勒索解密代码)》
文章链接:https://www.wevul.com/6693.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

文章推荐

如果文章对您有帮助 请不要吝啬 打赏一下小站

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册