2022年9月份用友金蝶勒索病毒样本+几万买的解密程序
这是我花了几万块买的解密程序,当时被病毒锁了之后备份时间太久了,无奈交了钱要回了数据,现将病毒样本和解密程序发出来,希望中了的人能解出来,解不出来也希望大牛能抽空研究,不在向这些明抢的强盗低头。
解压密码:52pojie
链接:https://pan.baidu.com/s/1uvgGB4R1fe781vna2LEH7w
提取码:zzjh
sbwfnhn 发表于 2022-12-29 16:53
10年前维护过用友,金蝶、管家婆。这些垃圾软件现在打死都不想碰。和windows 高度融合,备份不只是光备份数 ...
那帮垃圾穷的跟狗一样能用的起oracle?用的mssql,还特么是盗版的,出了问题就推责任,平时收费比谁都积极,这次出事还在那里扯,忽悠我花钱升级,我草他妈,他的问题我埋单,直接问候他祖宗十八代,钱扔了都不给他,所以直接买了快照备份,中毒就恢复,踏马就是不给钱,爱咋咋地。 dec.exe 使用 C# / .NET Framework 4.0 编写
public static bool FileDecryptNew(string inputFile, string outputFile, string privateKey, int size)
{
bool result = true;
byte[] array = new byte;
FileStream fileStream = new FileStream(inputFile, FileMode.Open);
fileStream.Read(array, 0, 0x80);
byte[] src = new RSAUtil().DecryptByBytes(array, privateKey);
byte[] array2 = new byte;
byte[] array3 = new byte;
Buffer.BlockCopy(src, 0, array2, 0, array2.Length);
Buffer.BlockCopy(src, 0x20, array3, 0, array3.Length);
CryptoStream cryptoStream = new CryptoStream(fileStream, new RijndaelManaged
{
KeySize = 0x100,
BlockSize = 0x80,
Key = array2,
IV = array3,
Padding = PaddingMode.PKCS7,
Mode = CipherMode.CFB
}.CreateDecryptor(), CryptoStreamMode.Read);
FileStream fileStream2 = new FileStream(outputFile, FileMode.Create);
byte[] array4 = new byte;
try
{
int count;
while ((count = cryptoStream.Read(array4, 0, array4.Length)) > 0)
{
fileStream2.Write(array4, 0, count);
}
}
catch (CryptographicException ex)
{
result = false;
Console.WriteLine("CryptographicException error: " + ex.Message);
}
catch (Exception ex2)
{
result = false;
Console.WriteLine("Error: " + ex2.Message);
}
try
{
cryptoStream.Close();
}
catch (Exception ex3)
{
result = false;
Console.WriteLine("Error by closing CryptoStream: " + ex3.Message);
}
finally
{
fileStream2.Close();
fileStream.Close();
}
return result;
}
从上面看, 这程序利用他给你的pem私钥, 读取每个文件前0x80长度byte, 然后使用RSA解密 key和 iv, 然后利用 crypto stream (AES) 解密, 是最简单纯粹的 AES +RSA 标准, 非常安全, 所以没有pem你就无法提取每个文件的不同key/iv, 自然就无法解密了, 这个pem文件应该是 他发给你的吧? 他那再用RSA 把每个受害者 pem加密, 理论上这样 它不需要你的 pem, 他只要有私钥就行了, 是勒索病毒惯用方法, 注意防范才是根本方法. 会不会是一个毒一个解密软件的解密码。不同码还不一样,不能同解 等着大牛的好消息 看着是度盘,瞬间没心情下了 本帖最后由 sbwfnhn 于 2022-12-29 16:55 编辑
10年前维护过用友,金蝶、管家婆。这些垃圾软件现在打死都不想碰。和windows 高度融合,备份不只是光备份数据库。
不知道现在的用友、金蝶能不能用oracle或mysql等。
也不知道用友、金蝶备份是不是只要备份数据库就可以了。
如果只要备份数据库,搭个异地数据库主从,加上binlog。系统直接从windows变linux,再牛的病毒,也不可能windows与linux同时感染。 MIAIONE 发表于 2022-12-29 16:37
dec.exe 使用 C# / .NET Framework 4.0 编写
public static bool FileDecrypt ...
对的,就是rsa,公私和私钥配对解密的 601541027 发表于 2022-12-29 16:09
看着是度盘,瞬间没心情下了
几个KB,要啥心情? 感谢各位大佬赏币