[求助]后缀名为.pezi的勒索病毒-Stop家族

qcz00622

前几个星期在境外的网站找一个软件的破解工具，结果下载下来的工具是病毒，然后电脑中招了，文件全部给加密，后缀为.pezi,有些目录比较深的幸免于难，然后在网上找了好多解决方案，发现均无效，经过360的网站分析，该病毒是Stop家族的新成员，勒索txt文件名为_readme.txt,内容如下：



链接：https://pan.baidu.com/s/19eCrDGvxweP8Tghn6qpGew
提取码：qd14
这个是加密前和之后的文件，幸好有些文件备份到了网盘，求大神帮忙，可以对比看看是否有解密方案。

qcz00622

补充一点，加密后的文件比加密前的文件大了334字节，网上搜索的说无解，用EMSIsoft解密工具，提示如下：

Starting...

File: D:\Need_to\1.SOP of Hi-pot tester(耐压测试仪)-14th Mar 2018.pdf.pezi
No key for New Variant online ID: B537oavkODnA7N0KX820PcdZije9alo1wWt2d2JT
Notice: this ID appears to be an online ID, decryption is impossible

File: D:\Need_to\FTP_Server.txt.pezi
No key for New Variant online ID: B537oavkODnA7N0KX820PcdZije9alo1wWt2d2JT
Notice: this ID appears to be an online ID, decryption is impossible

File: D:\Need_to\[验货报告模板未加密本地版V2.0]007-20200508.docm.pezi
No key for New Variant online ID: B537oavkODnA7N0KX820PcdZije9alo1wWt2d2JT
Notice: this ID appears to be an online ID, decryption is impossible

Finished!

我相信这里的大神肯定有解决方案，

qcz00622

https://www.freebuf.com/column/200907.html
这个是腾讯电脑管家对病毒的分析，症状几乎一模一样。

DualCore

既然你在网上找了，那么这段话也许你看到过：

.PEZI is a strain of STOP/DJVU Ransomware.
STOP Ransomware is only decryptable after August 2019 if an offline key was used i.e. if you weren't connected to the internet when the infection happened.
Otherwise, you'll be able to decrypt your files for free if:
1. The servers of DJVU get seized by the government.
2. The attackers release the keys themselves.
3. We find a flaw in the encryption algorithm that was overlooked so far.

论坛能解杀软厂商解不了的加密勒索吗？似乎没有先例。

qcz00622

多谢楼上大大的建议，我自己在虚拟机上用UltraEdit分析对比了一下加密前后两个文件内容，病毒只对每个文件的个第5个字节往后一直到0x25800字节进行Salsa20加密，然后在在文件末端增加334个字节的硬编码，其中包含ID里面的部分字符B537oavkODnA7N0KX820PcdZije9alo1wWt2d2JT，以及固定的字符串{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}。现在的问题就是，如果能推断出Salsa20的加密Key,即可正常解密文件。

silvanevil

一般勒索病毒 不是重启过后的存在内存的加密密钥就消失了吗？  碰到过好多次客户的勒索病毒案例，厂家都是无解，好多客户都是放弃了数据。。因为太贵了

qcz00622

网络上是这么说的，实际很难操作到。。。中毒后的第一反应是进安全模式去杀，结果那毒在安全模式都无法干掉。