2022年9月份用友金蝶勒索病毒样本+几万买的解密程序

chongtianlong · 发表于 2022-12-29 12:31

这是我花了几万块买的解密程序，当时被病毒锁了之后备份时间太久了，无奈交了钱要回了数据，现将病毒样本和解密程序发出来，
希望中了的人能解出来，解不出来也希望大牛能抽空研究，不在向这些明抢的强盗低头。

解压密码：52pojie

链接：https://pan.baidu.com/s/1uvgGB4R1fe781vna2LEH7w
提取码：zzjh

chongtianlong · 发表于 2022-12-29 21:25

sbwfnhn 发表于 2022-12-29 16:53
10年前维护过用友，金蝶、管家婆。这些垃圾软件现在打死都不想碰。和windows 高度融合，备份不只是光备份数 ...

那帮垃圾穷的跟狗一样能用的起oracle？用的mssql，还特么是盗版的，出了问题就推责任，平时收费比谁都积极，这次出事还在那里扯，忽悠我花钱升级，我草他妈，他的问题我埋单，直接问候他祖宗十八代，钱扔了都不给他，所以直接买了快照备份，中毒就恢复，踏马就是不给钱，爱咋咋地。

MIAIONE · 发表于 2022-12-29 16:37

dec.exe 使用 C# / .NET Framework 4.0 编写

[C#] 纯文本查看 复制代码

public static bool FileDecryptNew(string inputFile, string outputFile, string privateKey, int size)
		{
			bool result = true;
			byte[] array = new byte[0x80];
			FileStream fileStream = new FileStream(inputFile, FileMode.Open);
			fileStream.Read(array, 0, 0x80);
			byte[] src = new RSAUtil().DecryptByBytes(array, privateKey);
			byte[] array2 = new byte[0x20];
			byte[] array3 = new byte[0x10];
			Buffer.BlockCopy(src, 0, array2, 0, array2.Length);
			Buffer.BlockCopy(src, 0x20, array3, 0, array3.Length);
			CryptoStream cryptoStream = new CryptoStream(fileStream, new RijndaelManaged
			{
				KeySize = 0x100,
				BlockSize = 0x80,
				Key = array2,
				IV = array3,
				Padding = PaddingMode.PKCS7,
				Mode = CipherMode.CFB
			}.CreateDecryptor(), CryptoStreamMode.Read);
			FileStream fileStream2 = new FileStream(outputFile, FileMode.Create);
			byte[] array4 = new byte[size];
			try
			{
				int count;
				while ((count = cryptoStream.Read(array4, 0, array4.Length)) > 0)
				{
					fileStream2.Write(array4, 0, count);
				}
			}
			catch (CryptographicException ex)
			{
				result = false;
				Console.WriteLine("CryptographicException error: " + ex.Message);
			}
			catch (Exception ex2)
			{
				result = false;
				Console.WriteLine("Error: " + ex2.Message);
			}
			try
			{
				cryptoStream.Close();
			}
			catch (Exception ex3)
			{
				result = false;
				Console.WriteLine("Error by closing CryptoStream: " + ex3.Message);
			}
			finally
			{
				fileStream2.Close();
				fileStream.Close();
			}
			return result;
		}

从上面看, 这程序利用他给你的pem私钥, 读取每个文件前0x80长度byte, 然后使用RSA解密 key和 iv, 然后利用 crypto stream (AES) 解密, 是最简单纯粹的 AES +RSA 标准, 非常安全, 所以没有pem你就无法提取每个文件的不同key/iv, 自然就无法解密了, 这个pem文件应该是他发给你的吧? 他那再用RSA 把每个受害者 pem加密, 理论上这样它不需要你的 pem, 他只要有私钥就行了, 是勒索病毒惯用方法, 注意防范才是根本方法.

xt10086 · 发表于 2022-12-29 15:50

会不会是一个毒一个解密软件的解密码。不同码还不一样，不能同解

刘统宝 · 发表于 2022-12-29 16:20

等着大牛的好消息

601541027 · 发表于 2022-12-29 16:09

看着是度盘，瞬间没心情下了

sbwfnhn · 发表于 2022-12-29 16:53

本帖最后由 sbwfnhn 于 2022-12-29 16:55 编辑

10年前维护过用友，金蝶、管家婆。这些垃圾软件现在打死都不想碰。和windows 高度融合，备份不只是光备份数据库。
不知道现在的用友、金蝶能不能用oracle或mysql等。
也不知道用友、金蝶备份是不是只要备份数据库就可以了。

如果只要备份数据库，搭个异地数据库主从，加上binlog。系统直接从windows变linux，再牛的病毒，也不可能windows与linux同时感染。

chongtianlong · 发表于 2022-12-29 21:24

MIAIONE 发表于 2022-12-29 16:37
dec.exe 使用 C# / .NET Framework 4.0 编写

[mw_shl_code=csharp,true]public static bool FileDecrypt ...

对的，就是rsa，公私和私钥配对解密的

chongtianlong · 发表于 2022-12-29 21:27

601541027 发表于 2022-12-29 16:09
看着是度盘，瞬间没心情下了

几个KB，要啥心情？

chongtianlong · 发表于 2023-1-31 17:24

感谢各位大佬赏币

帐号		自动登录	找回密码
密码			注册[Register]

[已解决] 2022年9月份用友金蝶勒索病毒样本+几万买的解密程序

免费评分