ابزار رمزگشایی بیتدیفندر برای قربانیان باجافزار MaMoCrypt
محققان شرکت ضدویروس بیتدیفندر موفق به ساخت ابزاری شدهاند که قربانیان MaMoCrypt را قادر به رمزگشایی رایگان فایلهای رمز شده توسط این باجافزار میکند.
MaMoCrypt نسخهای از باجافزار MZRevenge است که به زبان Dephi نوشته شده و با mpress بسته بندی (Pack) شده است.
این باجافزار اقدام به حذف نسخ موسوم به Shadow Volumes و غیرفعالسازی دیواره آتش و سازوکار UAC بر روی دستگاه میکند.
MaMoCrypt با الگویی خاص و غیرمعمول هر فایل را با دو الگوریتم (AES 128 CBC و Twofish 128 NOFB) رمزگذاری کرده و به آن پسوند MZ173801 را الصاق میکند.
به دلیل وجود باگی در پیکربندی آن، اعمال فرایند رمزگذاری MaMoCrypt بر روی فایلهای بزرگتر از 4 گیگابایت موجب خرابی دائمی آنها میشود.
به گزارش شرکت مهندسی شبکه گستر، این باجافزار نه همه فایلها که صرفا فایلهای ذخیره شده در مسیرهای زیر را رمزگذاری میکند.
- C:\Program Files\Steam
- C:\Program Files (x86)\Steam
- [DRIVES A-Z, WITHOUT C]
- C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Recent\
- C:\Users\%user%\Pictures
- C:\Users\%user%\Music
- C:\Users\%user%\Videos
- C:\Users\%user%\Documents
- C:\Users\Public\Documents
- C:\Users\Public\Videos
- C:\Users\Public\Music
- C:\Users\Public\Pictures
- C:\Users\%user%\Downloads
- C:\Users\%user%\Favorites
- ::{645FF040-5081-101B-9F08-00AA002F954E} (Recycle Bin)
- C:\Users\Administrator
- C:\Users\Public
- C:\Users\Default
- C:\Users\%user%\Desktop
- C:\Users\Public\Desktop
- C:\Users\%user%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
- C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start Menu
- C:\ProgramData\Microsoft\Windows\Start Menu\
ضمن اینکه تنها فایلهای با هر یک از پسوندهای زیر مورد دستدرازی قرار میگیرند.
.cs; .lnk; .mp3; .jpg; .jpeg; .raw; .tif; .gif; .png; .bmp; .3dm; .max; .accdb; .db; .dbf; .mdb; .pdb; .sql; .dwg; .dxf; .c; .cpp; .cs; .h; .php; .asp; .rb; .java; .jar; .class; .py; .js; .aaf; .aep; .aepx; .plb; .prel; .prproj; .aet; .ppj; .psd; .indd; .indl; .indt; .indb; .inx; .idml; .pmd; .xqx; .xqx; .ai; .eps; .ps; .svg; .swf; .fla; .as3; .as; .txt; .doc; .dot; .docx; .docm; .dotx; .dotm; .docb; .rtf; .wpd; .wps; .msg; .pdf; .xls; .xlt; .xlm; .xlsx; .xlsm; .xltx; .xltm; .xlsb; .xla; .xlam; .xll; .xlw; .ppt; .pot; .pps; .pptx; .pptm; .potx; .potm; .ppam; .ppsx; .ppsm; .sldx; .sldm; .wav; .aif; .iff; .m3u; .m4u; .mid; .mpa; .wma; .ra; .avi; .mov; .mp4; .3gp; .mpeg; .3g2; .asf; .asx; .flv; .mpg; .wmv; .vob; .m3u8; .mkv; .dat; .csv; .efx; .sdf; .vcf; .xml; .ses; .rar; .zip; .7zip; .dtb; .bat; .apk; .vb; .sln; .csproj; .vbproj; .hpp; .asm; .lua; .ibank; .design; .aspx; .bak; .obj; .sqlite; .sqlite3; .sqlitedb; .back; .backup; .one; .pst; .url; .onetoc2; .m4a; .m4v; .ogg; .hwp; .HWP; .OGG; .M4V; .M4A; .ONETOC2; .URL; .PST; .ONE; .BACKUP; .BACK; .SQLITEDB; .SQLITE3; .SQLITE; .OBJ; .BAK; .ASPX; .DESIGN; .IBANK; .LUA; .ASM; .HPP; .VBPROJ; .CSPROJ; .SLN; .CS; .VB; .LNK; .JPG; .JPEG; .RAW; .TIF; .GIF; .PNG; .BMP; .3DM; .MAX; .ACCDB; .DB; .DBF; .MDB; .PDB; .SQL; .DWG; .DXF; .C; .CPP; .CS; .H; .PHP; .ASP; .RB; .JAVA; .JAR; .CLASS; .PY; .JS; .AAF; .AEP; .AEPX; .PLB; .PREL; .PRPROJ; .AET; .PPJ; .PSD; .INDD; .INDL; .INDT; .INDB; .INX; .IDML; .PMD; .XQX; .XQX; .AI; .EPS; .PS; .SVG; .SWF; .FLA; .AS3; .AS; .TXT; .DOC; .DOT; .DOCX; .DOCM; .DOTX; .DOTM; .DOCB; .RTF; .WPD; .WPS; .MSG; .PDF; .XLS; .XLT; .XLM; .XLSX; .XLSM; .XLTX; .XLTM; .XLSB; .XLA; .XLAM; .XLL; .XLW; .PPT; .POT; .PPS; .PPTX; .PPTM; .POTX; .POTM; .PPAM; .PPSX; .PPSM; .SLDX; .SLDM; .WAV; .MP3; .AIF; .IFF; .M3U; .M4U; .MID; .MPA; .WMA; .RA; .AVI; .MOV; .MP4; .3GP; .MPEG; .3G2; .ASF; .ASX; .FLV; .MPG; .WMV; .VOB; .M3U8; .MKV; .DAT; .CSV; .EFX; .SDF; .VCF; .XML; .SES; .RAR; .ZIP; .7ZIP; .DTB; .BAT; .APK;
پس از پایان فرایند رمزگذاری، اطلاعیه باجگیری (Ransom Note) با نام How Do I Recover My Files (Readme).txt در هر پوشهای که حداقل یکی از فایلهای آن رمز شده است کپی میشود.
ابزار رمزگشایی بیتدیفندر در اینجا قابل دریافت و استفاده است.
جزییات فنی این باجافزار نیز در اینجا قابل مطالعه است.
