orkf勒索病毒数据恢复思路

orkf勒索病毒数据恢复思路

最近遇到的一起被勒索案例,被勒索加密的文件后缀是.orkf。勒索信如下:
勒索几百美刀,主要是针对个人PC的勒索病毒。

分析结论:
根据该勒索加密样本与源文件对比分析,发现该勒索病毒加密特征为对文件头进行加密,逐字节加密每个文件,然后保存文件副本,删除(而不是覆盖)原始文件。并在文件尾部添加病毒特征码。由于文件的中间部分未被加密,所以对于一些大的文件有可能能够恢复部分数据。

该勒索病毒的相关信息:

Orkf病毒基本上与其他相同家族相似:它加密了所有流行的文件类型。因此,用户无法使用自己的文档或照片。此版本的勒索软件在所有加密文件中添加了自己的“ .orkf”扩展名。例如,文件“ video.avi”将被修改为“ video.avi.orkf”。一旦成功完成加密,病毒就会创建一个特定的文件“ _readme.txt”。

DJVU系列使用的加密算法是 AES-256。文件是使用特定的解密密钥加密的,且没有其他副本。如果没有唯一的密钥,就不可能恢复信息。如果勒索软件以在线模式工作,则将无法访问AES-256密钥。它存储在由分发Orkf病毒的犯罪分子拥有的远程服务器上。

分析思路:

由于没办法拿到勒索程序样本,所以无法从代码层面去分析加密逻辑。
这里用winhex比对加密前后的文件。

文件类型Magic数起始偏移结束偏移
Windows可执行文件“MZ”02
Linux可执行文件“\x7F\x45\x4c\x46”04
Java类“\xCA\xFE\xBA\xBE”04
可执行文件魔数

很多类型的文件,其起始的几个字节的内容是固定的,这几个字节的内容也被称为魔数,因为根据这几个字节的内容就可以确定文件类型。通过文件魔数就可以很方便的区别不同的文件。

比较文件头发现,该exe文件的魔数部分是没有加密。同理其他被该勒索病毒加密的文件魔数部分也没有被加密。

经过winhex文件比对,发现文件结尾部分只是多了病毒添加的特征码,但是其余部分是没有被加密的。

使用winhex的文件比较可以导出两个文件前后的不同字节的偏移位置,并且加密后的文件会多出一些字节。

根据导出的偏移位置发现在25804。

所以对于未加密的部分可以将其dump出来,在winhex中定义选块。

将选块dump到新文件可以尽可能恢复数据。

同理将被加密的部分可以单独dump出来得到单独的加密文件。

这种方式对于大文件,文本视频压缩数据文件是有很恢复的可能性。但是通过这种方式是会丢失文件前150kb的数据,一些小文件是没办法恢复的。

磁盘恢复(恢复部分数据):

这是一种可能的方式,必须先做好磁盘的备份
因为该勒索病毒是通过删除(而不是覆盖)原始文件,所以还可通过磁盘恢复,找回被删除的原始文件。前提是前提是没有被覆盖数据!

使用数据恢复软件可以恢复磁盘上未被覆写的数据,这个能恢复多少还是有很大运气的成分在里面。用恢复工具测试一台被勒索的主机。

从磁盘恢复的部分文件

经测试可恢复部分数据,在对数据非常紧需的时候可以先尝试此方法。

解密器恢复(目前不可用):

该家族的勒索病毒有非常多的后缀。orkf只是其中一种,目前orkf的密钥未公开暂时不可用,可能未来一段时间会更新。所以最好先做好备份,未来有完全恢复的可能性。

STOP/DJVU Ransomware 使用 Salsa20 加密受害者的文件,并将几十种扩展名之一附加到文件名;例如,“.wrui”、“.pcqq”、“.ytbn”、“.nusm”等。本文提到的orkf只是其中的一种。

国外有安全人员在持续收集STOP/DJVU家族的密钥,并在更新勒索解密工具。

国外STOP/DJVU家族勒索解密工具

解密工具链接: 解密工具,同家族其他勒索后缀有解密的可能。

总结:

勒索病毒都是采用高强度的加密算法,在没有密钥的情况下无法解密。目前整个业界都没有很好的解决方案。目前很多能解密的勒索,基本都是使用公开的密钥进行解密恢复的。

参考链接:

  • https://howtofix.guide/how-to-decrypt-djvu-ransomware-files/
  • https://zh.howtofix.guide/orkf-virus-file-remove-2/
  • https://www.free-uninstall.org/how-to-remove-orkf-ransomware-and-decrypt-orkf-files/?lang=zh
赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论