[发明专利]一种针对GandCrab勒索病毒加密文件后的解密方法有效
| 申请号: | 202010234179.2 | 申请日: | 2020-03-30 |
| 公开(公告)号: | CN111414623B | 公开(公告)日: | 2023-06-02 |
| 发明(设计)人: | 梁效宁;朱星海;许超明;张佳强;董超 | 申请(专利权)人: | 四川效率源信息安全技术股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 641000 四*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 针对 gandcrab 勒索 病毒 加密 文件 解密 方法 | ||
1.一种针对GandCrab勒索病毒加密文件后的解密方法,其特征在于包括以下步骤:
S100:查找各目录下经随机加密且后缀名为DECRYPT的勒索通知信息文件,并查找所述勒索通知信息文件中以标识符为BEGINGANDCRABKEY起始且以标识符为ENDGANDCRAB结尾的加密信息,所述加密信息为第二次RSA公钥加密并以Base64编码格式表示的加密信息,其中,所述GandCrab勒索病毒的版本为5.1;
S200:采用RSA解密算法解密所述加密信息,获取以Base64编码格式表示的、第二次RSA私钥解密后的信息,所述信息为第一次RSA加密的私钥;
S300:对所述以Base64编码格式表示的、第二次RSA私钥解密后的信息进行Base64解密,以获取解密后的第一次RSA加密的私钥;
S400:寻找RSA加密后的Salsa20的密钥和初始向量,步骤S400包括以下步骤:
S401:获取加密文件的字节长度;
S402:从加密文件末尾向前读取并查找标识符0x0100000000000000,步骤S402包括以下步骤:
S4021:从加密文件末尾向前读取8字节的内容,判断是否为所述标识符0x0100000000000000,如果是,执行步骤S403,否则,执行步骤S4022;
S4022:从加密文件末尾向前跳转5个字节,再向前读取8字节的内容;
S4023:判断当前所读取8字节的内容是否为所述标识符0x0100000000000000,如果是,执行步骤S403,否则,执行步骤S4024;
S4024:读取下一8字节的内容,执行步骤S4023;
S403:以所述标识符0x0100000000000000的起始地址为首地址,向前偏移8个字节的长度,再向前获取0x200字节的数据作为第一次RSA加密的数据;
S404:通过第一次RSA的私钥对所述0x200字节的数据进行解密,解密后前0x100字节数据中前32字节为Salsa20的密钥,后0x100字节数据中前8字节为Salsa20的初始向量;
S500:采用Salsa20的密钥和初始向量解密所述加密文件。
2.据权利要求1所述的一种针对GandCrab勒索病毒加密文件后的解密方法,其特征在于,最大解密长度为0x100000字节,超出最大解密长度的数据不加密,解密时只对加密部分解密。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川效率源信息安全技术股份有限公司,未经四川效率源信息安全技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010234179.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种安全节能型地暖石材的发热单元底板
- 下一篇:一种地铁铺轨车
