在2021年10月17日，Ji Vinopal 发布了有关 AtomSilo 勒索病毒的一个弱点，并表示可以在不支付赎金的情况下解密文件。稍后，他还 分析了另一种勒索病毒变体，LockFile。我们为 AtomSilo 和 LockFile 变体准备了自己的 免费 Avast 解密工具。

解密工具的限制

在解密过程中，Avast AtomSilo 解密工具 依赖于已知的文件格式，以验证文件是否成功解密。因此，某些文件可能无法解密，这包括拥有专有或未知格式的文件，或者根本没有格式的文件，例如文本文件。

AtomSilo 和 LockFile 的工作原理

AtomSilo 和 LockFile 勒索病毒变体之间非常相似，除了一些小差异，以下描述涵盖了它们的共同点。

AtomSilo 勒索病毒会使用固定的驱动器列表搜索本地驱动器，而 LockFile 则调用 GetLogicalDriveStringsA() 并处理所有固定驱动器。

一个单独的执行绪会为列表中的每个驱动器创建。这个执行绪会递归搜索给定的逻辑驱动器，并加密找到的文件。为了防止完全瘫痪受影响的 PC，AtomSilo 拥有一个排除的资料夹、文件名称和文件类型列表，这些内容不会被加密，列表如下：

排除的资料夹

Boot Windows Windowsold Tor BrowserInternet Explorer Google Opera Opera SoftwareMozilla Mozilla Firefox RecycleBin ProgramDataAll Users

排除的文件

autoruninf indexhtml bootini bootfontbinbootsectbak bootmgr bootmgrefi bootmgfwefidesktopini iconcachedb ntldr ntuserdatntuserdatlog ntuserini thumbsdb #recycle

排除的扩展名

hta html exe dll cpl inicab cur cpl drv hlp iclicns ico idx sys spl ocx

LockFile 会避开包含以下子字符串的文件和资料夹：

排除的子字符串

Windows NTUSER LOCKFILE lockfile

此外，还有一个包含 788 个不会被加密的文件类型扩展名的列表。这些文件类型包括 exe，还有 jpg、bmp 和 gif。您可能会注意到其中一些被重复提及。

这种勒索病毒为每个受害者生成 RSA4096 会话密钥对。其私有部分然后存储在赎金说明文件中，并由主 RSA 密钥在二进制文件中硬编码加密。为每个文件生成一个新的 AES256 文件密钥。然后该密钥由会话 RSA 密钥加密，并连同原始文件大小一起存储在加密文件的末尾。

每个加密文件都包含一个名称为以下之一的赎金说明文件：

加密文件可以通过 ATOMSILO 或 lockfile 扩展名识别：

当加密过程完成后，赎金说明会显示给用户。每个变体的赎金说明各有其风格：

如何使用解密工具

要解密您的文件，请按照以下步骤操作：

在初始页面，您将看到一个致谢名单。只需点击“下一步”。

在下一页中，选择您希望解密的位置列表。默认情况下，它包含所有本地驱动器的列表。

在第三页中，您可以选择是否要备份加密文件。如果在解密过程中出现任何问题，这些备份可能会有所帮助。该选项默认为开启，我们建议保留。点击“解密”后，解密过程将开始。

让解密工具运行，并等待其完成。

致谢

我们感谢 Ji Vinopal 分享了这两种勒索病毒变体的分析。

IOCs

SHA 文件名d9f7bb98ad01c4775ec71ec66f5546de131735e6dba8122474cc6eb62320e47bATOMSILObf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7celockfile

标签为 分析、解密工具、恶意软件、勒索病毒

分享XFacebook