解密的過程是在釋放到臨時(shí)目錄中的進(jìn)程來完成的,相關(guān)代碼如下:
2. 加密文件的結(jié)構(gòu)是什么�?
原始文件經(jīng)過ZLIB壓縮和AES加密后�,寫在了一個(gè)臨時(shí)文件的x030開始的位置��。最后再向臨時(shí)文件頭部寫入0×30長(zhǎng)度的數(shù)據(jù)���,其中前0×20是會(huì)話公鑰,接下來是的四個(gè)DWORD分別是標(biāo)志“CTB1”,壓縮后的大小��,壓縮前的的大小�,標(biāo)志(值為1). 會(huì)話公鑰是明文不加密的,但是針對(duì)“CTB1”及后面的長(zhǎng)度為0×10數(shù)據(jù)進(jìn)行加密��。在對(duì)該段長(zhǎng)度為0×10的數(shù)據(jù)解密后首先判斷開頭是否是“CTB1”接著判斷尾部是不是1�,兩者同時(shí)匹配才會(huì)認(rèn)為是CTB-Locker加密過的文件。
3. 為什么樣本在離線的時(shí)候仍然能夠解密5個(gè)文件?
在系統(tǒng)中文件被加密后����,如果我們選擇對(duì)話框中的“NEXT”,CTB-Locker會(huì)讓我們搜索一些文件來測(cè)試能否解密.如下圖:
如果我們選擇解密文件,文件是可以解密成功的。這讓我們產(chǎn)生一個(gè)錯(cuò)覺:密鑰是不是在本地保存了? 其實(shí)可以說是保存了但是只是保存了5個(gè).保存的是AES的KEY并且是保存在開始提到的配置文件中�����。首先在為每一個(gè)文件產(chǎn)生AES KEY時(shí)都會(huì)將這個(gè)AES的KEY返回給調(diào)用者:
調(diào)用者會(huì)判斷當(dāng)前保存的KEY是否超過了5個(gè),如果超過了5個(gè)就不再保存了�����。代碼如下:
當(dāng)你選擇解密5個(gè)文件時(shí)��,CTB-Locker會(huì)遍歷所有的已加密文件嘗試著使用這5個(gè)KEY來解密文件偏移0×20處的數(shù)據(jù).如果和標(biāo)志相匹配就說明KEY匹配上了����。然后就把這5個(gè)可以解密的文件名字輸出到屏幕上。相關(guān)代碼如下:
因此離線解密5個(gè)文件并不足為奇�����,有種你保存所有的密鑰啊…
4. 要求受害者向服務(wù)器提交的public key和文件加密有關(guān)系嗎���?
最開始我們猜測(cè)這個(gè)publickey是不是和文件加密有關(guān)系或者它會(huì)攜帶一些能夠幫助解密的信息�。經(jīng)過分析幾乎沒有��。這個(gè)public key 是在所有文件被加密完成后產(chǎn)生的�,它主要包含了配置文件中的一些數(shù)據(jù)以及所有加密文件的總的大小.某種程度上算是類似一個(gè)序列號(hào)的東西.
