findzip ransomware.在2017年2月22日被发现。当时,据认为是这个勒索软件的文件是不可逆转的加密,没有解密。事实证明,这并不是真的。

对于那些感染Findzip(AKA FileCoder)的人来说,它仍然是真的,背后的黑客无法让你解除它的关键。在这些特定的盗贼中没有荣誉,因为他们遵守他们支付赎金的能力。

然而,并不是所有的希望都破灭了!如果你犯了没有备份的错误,或者你的备份也被勒索制造器,仍有机会恢复。它不会快速或容易,但通过遵循本文中的说明,您将能够重新获得您的文件。这些指令对于许多人来说是令人生畏的,因此如果您对您跟随他们的能力有任何疑问,请从拥有更多经验的人寻求帮助。

特别感谢Jérôme Segura和@ thewack0lian.为他们的帮助解决这个程序。没有他们的建议,我就无法建立这些指示!

收集材料

在开始之前,您需要一些事情。

  1. 工作的电脑
  2. Xcode.或者textwrangler.
  3. Xcode命令行工具
  4. pkcrack源代码
  5. 一个未加密的文件和相应的加密文件

首先,当然,你需要一台能正常工作的电脑。这可能是第二台电脑,也可能是受感染Mac上的另一个用户帐户。如果你设法在恶意软件加密你的整个用户帐户之前强制退出,你甚至可以继续使用现有的帐户。

这些指令假设您将在Mac上进行工作。如果您需要在Windows或Linux计算机上进行解密,则需要弄清楚如何在该系统上编译和使用pkcrack。

其次,你要么需要苹果的Xcode开发环境,要么需要一个好的文本编辑器。Xcode是一个相当大的下载,大多数人永远不会以任何方式使用,所以除非你有一个Xcode的理由,我建议下载TextWrangler。它是一个优秀的文本编辑器,有许多可能的用途。

接下来,您需要安装Xcode命令行工具,幸运的是,它不需要实际安装Xcode。如果您没有Xcode副本,请打开终端应用程序,该应用程序在“应用程序文件夹中的实用程序文件夹”中。

在终端中,输入以下命令:

xcode-select——安装

当你这样做时,你会看到以下窗口:

单击“安装”按钮以安装命令行工具,同意许可证,然后等待下载并安装进程完成。

第四,你需要下载pkcrack源代码。有些人,在这一点上,可能会有点害怕下载这样的东西,出于良好的理由,但我自己尝试了它,它工作得很好。

最后,您将需要一个在加密和未加密的表单中加密的文件之一。文件需要确切地与加密的相同。这可能是一份已附加到您已保存的电子邮件的文档,但仍然可以从电子邮件服务器中检索,或者您存储在闪存驱动器上或其他外部存储器上的文档。确保文档不是太大或两个小。大于1000字节的东西,但略大数千次,是理想的。

如果您找不到这样的文件,则可以使用恶意的Findzip应用程序对其自身进行攻击。如果你从用户文件夹的某个地方运行应用程序——比如下载文件夹——那么应用程序就会(有趣地)加密自己。在这种情况下,您可以简单地下载Info.Plist文件的一部分从恶意软件中提取。(别担心,这个文件不危险。)解压下载的文件,你会发现一个名为Info.plist的文件。部分,稍后会用到。

然后,您需要从加密系统上的恶意应用程序中提取加密的info.plist.crypt文件。控制 - 单击恶意应用程序,然后从出现的上下文菜单中选择“显示包内容”。在打开的窗口中,将有一个内容文件夹。内部是一个名为info.plist.crypt的文件。抓住该文件的副本。

其余的指令将涉及使用这些信息。plist和Info.plist.crypt文件,但是任何其他匹配的加密和未加密文件对都可以。

编译pkcrack

为了使用pkcrack,它将允许您对加密文件执行所谓的“已知明文攻击”,您将需要从源代码编译它。你之前下载的pkcrack源代码应该解压为:

SRC目录中的文件是您对您感兴趣的文件。

不幸的是,原样,此代码无法在MacOS上编译。幸运的是,您可以对这些文件进行一些非常简单的更改来解决此问题。是时候突破Xcode或textwrangler并使用它来编辑其中几个文件。

首先,打开名为Makefile的文件。在文件的顶部会有一行读取内容:

CFLAGS = o6 - wall

将6到2更改为2,以便该行看起来像这样:

cflags = -o2 -wall

然后保存并关闭文件。

接下来,您需要打开exfuncc文件。找到靠近顶部的一行:

# include < malloc.h >

删除这一行,只删除这一行,然后保存并关闭文件。

现在,重复此过程,从以下文件中删除与以下同一行完全相同:

解压main.c readhead.c zipdecrypt.c

完成后,您就可以编译代码。幸运的是,这很容易。再次打开终端应用程序并键入以下内容,但不要按RETURN:

cd

你看不到它,但“CD”后有一个空间,所以一定要把那个空间放在那里。

接下来,将SRC文件夹从PKCRACK-1.2.2文件夹拖到终端窗口。这将将该文件夹的路径插入命令。现在切换回终端并按Return。这将终端的当前工作目录更改为SRC文件夹。

最后,输入以下命令:

制作

这将编译代码,将很多文本呼吸到终端窗口中,您真正需要担心。作为一个例子,这是我系统上的看起来的样子,其中大部分输出都省略了中间的简洁:

Hyperion:〜Thomas $ CD /Users/Thomas/desktop/pkcrack-2.2/src hyperion:src thomas $ make gcc -o2 -wall -c -c -o crc.o crc.c crc.c:24:13:警告:未使用的变量'rcsid'[-wumused-dramiable] static char rcsid [] =“$ ID:CRC.C,V 1.3 1997/09/18 18:07:24 Lucifer Releas ... ^ 1警告产生。[。..] int makekey.c:19:13:警告:未使用的变量'rcsid'[-wunusid-aser] static char rcsid [] =“$ id:makekey.c,v 1.1 1997/02/15 09:44:44 Lucifer Re ... ^ 3产生警告。gcc -o makekey -o2 -wall makekey.o crc.o keystuff.o hyperion:src thomas $

没有必要担心警告。如果您现在在SRC文件夹中看到以下文件,您将知道构建成功:

Extract findkey makekey pkcrack zipdecrypt

这些是UNIX可执行文件,也称为“二进制文件”。为了便于使用,将这些文件移动到单独的文件夹中。我将它们放入“bin”文件夹,如下所示:

找到钥匙

下一步将涉及使用前面获得的一对加密和未加密的文件来查找三个键。对于此示例,我们将使用Info.plist.crypt和Info.plist.part文件。将这些文件移动到Bin文件夹中,与Pkcrack二进制文件一起。如果您不使用info.plist以外的文件,请将原始,未加密的文件重命名为其他内容,如“[filename] .orig”(用文件的实际名称替换[filename]部分)。

接下来,回到终端,再次使用“cd”命令切换到bin目录。然后输入如下命令:

./extract -p info.plist.crypt Info.Plist

这将生成一个名为INFO.PLIST的文件,但其内容仍然加密。

当然,如果您未使用此信息文件,则将这些名称替换为您正在使用的文件的正确名称。如果您在他们使用的空格中使用的文件名,则需要将它们括在引号中。例如:

./extract -p“有些单词file.docx.crypt”“有些单词file.docx”

现在你已经准备好开始搜索键。输入以下命令:

./pkcrack -c info.plist -p info.plist.part

(再次,请务必在包含空格的任何文件名周围使用引号。)

pkcrack应用程序将开始在加密文件上工作。取决于文件,这可能需要一段时间,但对于信息。plist文件,在我的高端MacBook Pro上,大约花了一分钟。

您会知道它在两次发出发出发出哔哔声时完成,终端正在显示这样的内容:

hyperion:bin thomas $ ./pkcrack -c info.plist -p info.plist.part文件读取。起始阶段1在2月25日08:05:04 2017年生成第1代可能的key2_1544值......完成。找到4194304可能的key2值。现在我们正试图减少这些......完成。留下2941个可能的值。Bestoffset是24.阶段完成。2017年2月25日星期六2月25日星期四的阶段2!Ta-Daaaaa!key0 = c054acf9,key1 = d1656d7b,key2 = 3549626f概率测试成功1525字节。ta-daaaaa!key0 = c054acf9,key1 = d1656d7b,key2 = 3549626f概率测试成功1525字节。 Searching... 11.2%

此时,PKCrack正在尝试找到加密文件的密码,但由于恶意软件使用的密码长度,这不会成功。您可以通过按Control-C强制执行此操作和退出。

幸运的是,您不需要密码...它找到的三个键可用于解密所有其他解密的文件。记下这三个键,标记为key0,key1和key2。

解密的文件

此时,我们可以解密info.plist.crypt文件,以及该特定MAC上的恶意软件加密的任何其他文件。输入以下命令:

./zipdecrypt c054acf9 d1656d7b 3549626f Info.plist.crypt Info.plist.zip

务必将此命令中的键替换为从加密文件中获取的命令中的键。

此命令的结果将是创建一个新的未加密的info.plist.zip文件。双击此文件将解压缩。zip文件将包含一系列嵌套文件夹,从“用户”开始,并通过文件所在的整个路径。挖掘到每个后续文件夹,直到您到达原始文件夹,现在未加密,文件。

当然,在本例中,您已经有了原始文件。但是,您现在可以使用相同的密钥对任何其他加密文件重复这个zipdecrypt命令。以这种方式恢复大量文件将是乏味的,但在积极的网站上,您可以利用这段时间来思考如何通过拥有一组良好的备份来避免这种情况!