Ouroboros ransomware đã có hơn một năm dưới nhiều hình thức khác nhau, được vận hành bởi các nhóm tội phạm mạng khác nhau.
Ouroboros, được biết đến là lây lan qua các cuộc tấn công tàn bạo qua giao thức Remote Desktop và các bản tải xuống lừa đảo, số lượng đáng kể nạn nhân trên toàn thế giới.
Ngay bây giờ chúng tôi vui mừng thông báo rằng đã sẵn sàng có một bộ giải mã mới có thể khôi phục các phần mở rộng tệp .Lazarus và .Lazarus + về nguyên bản ban đầu, như không bị mã hóa.Xin lưu ý rằng công cụ này chỉ hoạt động cho các mở rộng Lazarus và Lazarus +. Biến thể .Kronos vẫn đang được phân tích.Làm thế nào để biết nếu bạn bị nhiễm biến thể cụ thể này của OuroborosTrên máy tính bị nhiễm, hầu hết các tệp được mã hóa và đổi tên thành tên tệp gốc cộng với [ID=XXXXXXXXXX][Mail= * ].Lazarus or [ID=XXXXXXXXXX][Mail= * ].Lazarus+ strings. ID bao gồm 10 ký tự ngẫu nhiên. Ngoài ra, Ouroboros sẽ tạo ra một số ghi chú tiền chuộc được gọi là Read-Me-Now.txt
Nếu bạn bị nhiễm biến thể Lazarus này, bạn có thể tải xuống bộ giải mã ngay lập tức. Nếu bạn quan tâm đến cách thức hoạt động của Ouroboros, bạn có thể đọc chương tiếp theo.
>> Liên hệ VinSEP để nhận được bộ công cụ giải mã này nhé!
Mô tả kỹ thuật ngắn gọn
Các tệp bị ảnh hưởng được mã hóa bằng thuật toán AES 256 CBC dựa trên các hướng dẫn aesenc/aesenclast. Điều này ngăn phần mềm độc hại chạy trên các mô hình CPU cũ hơn (trước năm 2010) mà thiếu hỗ trợ cho các hướng dẫn này.
Khởi tạo được sử dụng để mã hóa được mã hóa cứng thay vì được tạo và nó thay đổi theo từng phiên bản:
Khóa được xây dựng bằng cách sử dụng kết hợp hai PRNG (bộ tạo số giả ngẫu nhiên), Mersenne Twister và IsaacRandom, bắt đầu từ bảng chữ cái sau:
Sau khi tạo khóa, ransomware cố gắng liên hệ với máy chủ để gửi khóa cùng với thông tin người dùng. Trong trường hợp không có phản hồi, khóa sẽ bị loại bỏ và được thay thế bằng khóa được mã hóa cứng:
Cách giải mã dữ liệu của bạn
Bước 1: Tải xuống công cụ giải mã bên dưới và lưu nó ở đâu đó trên máy tính của bạn.
>> Liên hệ VinSEP để nhận được bộ công cụ giải mã này nhé!
Công cụ này không yêu cầu kết nối Internet.Bước 2: Bấm đúp vào BDOuroborosDecryptTool.exe và cho phép nó chạy ở mức cao tại dấu nhắc UAC.
Bước 3: Chấp nhận Thỏa thuận cấp phép người dùng cuối
Bước 4: Chọn Scan Entire System nếu bạn muốn tìm kiếm tất cả các tệp được mã hóa. Ngoài ra, chỉ cần thêm đường dẫn đến thư mục chứa các tệp được mã hóa. Chúng tôi thực sự khuyên bạn cũng nên chọn các tập tin sao lưu trong bộ phận sao lưu trước khi bắt đầu giải mã, nếu có bất cứ điều gì bất ngờ xảy ra trong quá trình này. Bắt đầu giải mã bằng cách nhấp vào nút Scan.Ở cuối bước này, các tệp của bạn sẽ được giải mã. Công cụ tạo nhật ký hoạt động tại vị trí %temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt.Nếu bạn cần hỗ trợ, liên hệ với chúng tôi theo địa chỉ phản hồi được liệt kê trong công cụ. Chúng tôi vui lòng yêu cầu bạn đính kèm tệp nhật ký được đề cập ở trên để giúp bạn cách ly các vấn đề tiềm ẩn và giảm thiểu thời gian phản hồi.
Triển khai tự động trên toàn mạng
Công cụ này cũng có thể được thực thi thông qua dòng lệnh. Nếu bạn cần tự động hóa việc triển khai công cụ trong một mạng lớn, bạn có thể muốn sử dụng tính năng này.
- -help – provides information on how to run the tool silently (this information gets written in the log file, not on the console output)
- start – this argument allows the tool to run silently (no GUI)
- –path – this argument specifies the path to scan
- –test – this argument specifies the test path to a pair of original/encrypted files
- o0:1 – enable Scan entire system option (ignoring -path argument)
- o1:1 – enable Backup files option
- o2:1 – enable Overwrite existing files option
Command line examples:
BDOuroborosDecryptor.exe start -path:”C:\” -> the tool starts with no GUI and scans C:\
BDOuroborosDecryptor.exe start o0:1 -> the tool starts with no GUI and scans the entire system
BDOuroborosDecryptor.exe start o0:1 o1:1 o2:1 -> the tool scans the entire system, backs up the encrypted files and overwrites present clean files
Acknowledgement:
This product includes software developed by the OpenSSL Project, for use in the OpenSSL Toolkit.
VinSEP (Công ty TNHH Mục Tiêu Số, MST: 0316094847)- chúng tôi là chuyên gia trong giải pháp/dịch vụ CNTT & phần mềm bản quyền. VinSEP giúp doanh nghiệp chuyển đổi thành nơi làm việc hiện đại (Modern Workplace) & phát triển trong thời đại công nghiệp 4.0.
VinSEP chỉ có một website Official chính thức là VinSEP.com.
