深度揭秘LooCipher勒索病毒解密工具技术原理

GO 语言近年来越来越流行。 近一两年发现一些勒索病毒和挖矿病毒都是用GO语言编写，然后跨平台编译的。 笔者之前分析过一个基于Windows/Linux双平台的挖矿病毒，使用GO语言，然后针对不同平台编译生成可执行程序。 最近有一些勒索病毒家族是用GO语言编写的比特币钱包解密工具，比如最近流行的勒索病毒家族：Golden Axe、GoRansom、LooCipher等，都是用GO语言编写的。可以预见，未来挖矿、挖矿等恶意程序会越来越多。勒索比特币钱包解密工具，GO语言开发的DDOS僵尸网络会出现...

LooCipher 勒索软件最早是由国外安全研究人员发现的。 该勒索病毒主要通过钓鱼垃圾邮件进行传播感染。 垃圾邮件中包含恶意WORD文档，诱导受害者打开文档，启动WORD文档中的恶意程序。 宏代码，然后通过网关连接TOR服务器下载并执行LooCipher勒索病毒，TOR服务器地址：hxxp://hcwyo5rfapkytajg.onion.pet/3agpke31mk.exe，下载的程序重命名为LooCipher.exe

勒索病毒运行后，会在Windows桌面创建一个名为c2056.ini的文件，文件中会保存电脑的唯一ID，以及密钥过期时间和比特币钱包地址，如下图：

比特币钱包地址：

1CrdZvvtzrZTJ78k92XuPizhhgtDxQ8c4B

加密后的文件扩展名是lcphr，但奇怪的是之前的原文件并没有被删除，而是以0字节存放，如下图：

勒索信息文本文件@Please_Read_Me.txt如下：

修改桌面背景如下：

弹出勒索病毒解密工具界面，如下图：

LooCipher勒索病毒解密工具，下载链接：

注意：如果被感染机器重启，则无法使用解密工具

解密工具使用步骤如下：

1.找到LooCipher勒索软件的进程ID号

2.以管理员权限打开CMD命令窗口，然后导航到勒索软件解密工具目录

3、在CMD命令窗口输入命令行：

ZLAB_LooCipher_Decryptor.exe

通过逆向分析，可以得到该解密工具的原理和技术，如下：

该勒索软件解密工具主要使用内存转储程序pd.exe将勒索软件运行过程转储到内存中，然后在转储文件中搜索可能的密钥信息，对密钥进行解码，然后遍历磁盘上的加密文件，使用AES算法解密。 这种解密方法可以应用于一些勒索病毒。 之前有一些勒索病毒的解密工具就是采用这种方式开发的，但这需要受害者不要破坏勒索病毒的运行环境和重启主机。 否则DUMP找不到内存信息，key就找不到了。。。

LooCipher勒索病毒解密工具逆向分析，深入解析LooCipher勒索病毒解密原理和方法，知识星球详细讲解了逆向分析的步骤，如果您对逆向分析安全技术研究感兴趣，可以加入星球学习教你如何在内存中搜索勒索病毒的加密密钥，学习勒索病毒解密工具的开发！

跟着熊猫正正学安全知识，专注安全分析研究，分享各类安全纯干货！ 1、各种恶意样本分析技术，不限平台，包括：勒索病毒、挖矿病毒、蠕虫、传染性病毒、僵尸网络、APT攻击、黑客木马、后门、各种硬件木马后门等！ 2.二进制常见漏洞分析与实战！ 3.黑产业追踪、威胁情报、最新热点安全事件分析！