吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4525|回复: 81
上一主题 下一主题
收起左侧

[PC样本分析] 【工具分享】全网首发!LOL勒索病毒解密教程:无需赎金,手动破解与恢复工具全解析

  [复制链接]
跳转到指定楼层
楼主
solar应急响应 发表于 2024-11-11 15:49 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

1.前言

在上一篇文章中,我们对提取的LOL勒索病毒样本进行了详细分析,相关内容可以参考上篇内容【病毒分析】全网首发!全面剖析.LOL勒索病毒,无需缴纳赎金,破解方案敬请期待下篇!。不过,由于使用的工具未能完全反编译病毒代码,我们需要通过手动还原代码来进一步研究。本篇文章将详细阐述破解思路,并提供相应的恢复工具。

2.破解思路分析

基于上篇对加密器的分析,我们得出可以通过nacl.secret.SecretBox(key).decrypted进行解密。流程大概如下:

2.1遍历文件

def list_all_files(path):
    for root, dirs, files in os.walk(path):
        for name in files:
            file_path = os.path.join(root, name)
            if file_path.endswith('.lol'):
                try:
                    decrypt_file(file_path)
                except PermissionError:
                    print(f"Permission denied: {file_path}")

2.2解密操作

#密钥初始化
key = b'\xc0n\xf7\xd3\x95\x90w7\x06\xdd\xc2A\x8d\xaew\xcd[\xdb\xc9R\xf0\xfbLE8\xf0\xf7\xd5\xce\xed\xd6\xfa'  # 替换为实际的密钥
box = nacl.secret.SecretBox(key)
#解密函数
def decrypt_file(encrypted_file_path):
    file_del = encrypted_file_path
    with open(encrypted_file_path, 'rb') as f:
        encrypted_data = f.read()
    decrypted = box.decrypt(encrypted_data)
    # 保存解密后的文件
    decrypted_file_path = encrypted_file_path.replace('.lol', '')
    with open(decrypted_file_path, 'wb') as f:
        f.write(decrypted)
    os.remove(file_del)
    print(f'File decrypted successfully: {decrypted_file_path}')

3.使用教程

3.1工具简介

V1.0版本通过判断文件的加密后缀来恢复,仅支持通过“.lol”后缀进行解密。部分文件可能因权限不足而导致解密失败,建议将这些文件移动到其他目录(也可以直接取消文件夹的只读属性),解密完成后再将其移动回原目录。解密过程中,还需要手动清理注册表,删除指定的键值即可。

Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MyScript

勒索信需要手动清理,可以使用Everything工具进行检索,批量删除相关文件。

3.2使用方法

请以管理员权限运行命令提示符(CMD)。目前,该工具仅支持选择目录进行恢复,无法指定单个文件进行解密。

lol解密器.exe  文件路径(只能是目录路径)例如C:\Users\Downloads
lol解密器.exe  C:\Users\Downloads #回车后恢复C:\Users\Downloads所有.lol后缀文件


解密工具
链接: https://pan.baidu.com/s/1SiXlMXqLEt__o799utfZNA?pwd=2411 提取码: 2411
解压密码:SET-Solar

免费评分

参与人数 28吾爱币 +19 热心值 +26 收起 理由
aiyi9527 + 1 我很赞同!
tttsss + 1 + 1 我很赞同!
hurric + 1 + 1 谢谢@Thanks!
joker11 + 1 用心讨论,共获提升!
KobeBrant007 + 1 我很赞同!
noname96 + 1 我很赞同!
guoruihotel + 1 + 1 谢谢@Thanks!
hyqhy + 1 + 1 鼓励转贴优秀软件安全工具和文档!
mozhiz + 1 谢谢@Thanks!
st0rm + 1 + 1 用心讨论,共获提升!
tanhaibigg + 1 + 1 谢谢@Thanks!
huanghui9969 + 1 + 1 我很赞同!
XiaoYeZe + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
luisls + 1 + 1 谢谢@Thanks!
sondycnc + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
asky360 + 1 + 1 谢谢@Thanks!
局外人K + 1 + 1 热心回复!
Tt1002 + 1 用心讨论,共获提升!
yanglinman + 1 谢谢@Thanks!
kdrew + 1 + 1 热心回复!
ASZ + 1 + 1 热心回复!
drunkwind + 1 我很赞同!
dong0925 + 1 + 1 热心回复!
wwklqh + 1 + 1 我很赞同!
Cp147852369 + 1 我很赞同!
sw7057 + 1 + 1 谢谢@Thanks!
暧昧乱人心1314 + 1 我很赞同!
9588 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
poptop 发表于 2024-11-12 13:36
感谢分享                                                                                       
推荐
wwklqh 发表于 2024-11-11 21:11
楼主威武,我几年前也中了扩展名为enfp的勒索病毒,麻烦老师看看,能否解密,请移步下面帖子了解详情
https://www.52pojie.cn/thread-1420055-1-1.html
沙发
夜雨听风 发表于 2024-11-11 15:55
3#
熊猫咖啡 发表于 2024-11-11 16:20
哪位大神试试效果?
4#
Xiaosesi 发表于 2024-11-11 16:27
感谢分享,刚好中了这个病毒
5#
Ybushu 发表于 2024-11-11 16:58
感谢指导~
6#
baobao107 发表于 2024-11-11 17:57
Xiaosesi 发表于 2024-11-11 16:27
感谢分享,刚好中了这个病毒

有效果吗?麻烦反馈给广大坛友
7#
lazhou 发表于 2024-11-11 18:28
牛叉,谢谢大佬分享!
8#
WJFCYLIB 发表于 2024-11-11 18:47
谢谢大佬分享!
9#
rubysn0ws 发表于 2024-11-11 19:07
厉害,膜拜
10#
cn2jp 发表于 2024-11-11 20:06
Xiaosesi 发表于 2024-11-11 16:27
感谢分享,刚好中了这个病毒

方便说下怎么中的吗?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 19:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表