Cryptolocker malware Decrypter

Locker Decrypter

Python herramienta para descifrar los archivos cifrados por el malware Locker.

Locker es probablemente uno de los peores malware “in-the-wild” en la actualidad. Es una variante de la familia cryptolocker de malware, y la llamada ransomware, que cifra los archivos importantes de la víctima (como fotografías y documentos) sobre la base de la extensión de archivo.

El documento describe el formato utilizado en los archivos cifrados para que uno pueda descifrar los archivos, en el supuesto de que la clave de cifrado se conoce.

También un archivo (CSV) que contiene todos los pares de claves RSA-bitcoin y direcciones para el pago de rescates fue publicada el Mega

Dependencias

Esta herramienta requiere Python 2 (probado con 2.7, Python 3 no funciona como alguien tendría que portar el rijndael.py).

  • desenredar
  • pycrypto

¿Cómo descifrar los archivos?

En primer lugar hay que cavar ya sea clave pública RSA o dirección Bitcoin desde el ordenador del vitcim. Los archivos que contienen información relevante normalmente residen en C: \ Datos de programa \ rkcl directorio.

  • data.aa0 – lista de archivos cifrados Contiene
  • data.aa6 – Contiene la dirección bitcoin
  • data.aa7 – Contiene la clave pública

Utilizar cualquiera de clave pública RSA o dirección Bitcoin para encontrar la clave privada del archivo csv se hace referencia más arriba y que lo guarde en el archivo private_key.xml:

grep [BITCOIN ADDRESS HERE] database_dump.csv | sed -e 's/.*,.*,//g' > private_key.xml

A continuación, ejecute la herramienta en un directorio en el que desea descifrar los archivos:

lockerdecrypter.py <private_key.xml> <directory_to_decrypt>

La herramienta intenta automáticamente para determinar cuál de los archivos en realidad se encripta y cuáles no.

Cryptolocker malware Decrypter en GitHub

git clone https://github.com/mikatammi/locker_decrypter.git

 

Fuente: https://n0where.net/cryptolocker-malware-decrypter/

Leave a Reply

%d bloggers like this: