Tesorion为Lorenz 勒索软件开发了免费解密器

研究人员分析了最近发现新的 Lorenz 勒索软件，并为其开发了一个免费的解密器。

Lorenz 勒索软件团伙自 4 月以来一直活跃，袭击了全球多个组织，要求向受害者支付数十万美元的赎金。

与其他勒索软件团伙一样，Lorenz 运营商也实施双重勒索，即在加密数据之前窃取数据，并在受害者不支付赎金时威胁他们。赎金要求相当高，在 500.000 美元到 700.000 美元之间。

网络安全公司 Tesorion 的研究人员分析了勒索软件并开发了一种解密器，在某些情况下可以让受害者免费解密他们的文件。该安全公司计划 很快通过NoMoreRansom计划发布解密器 。

Lorenz 勒索软件在 CBC 模式下使用 RSA 和 AES-128 的组合来加密文件，它为每个文件使用随机生成的密码，然后使用CryptDeriveKey 函数导出加密密钥 。

该勒索软件很可能是使用 Microsoft Visual Studio 2015 用 C++ 编写的，专家分析的样本都编译有调试信息，使分析更容易。

Lorenz 在启动时创建了一个名为“wolf”的互斥锁，以确保它在受感染的系统上一次只执行一次。Lorenz 在加密文件之前将受感染系统的名称发送到 C2。

“被勒索软件加密的文件通常包含页脚，因为页脚可以很容易地附加到文件中。洛伦兹在加密文件之前放置了一个标头。这会降低勒索软件的效率，因为它必须复制每个文件的内容。标头包含魔法值：“.sz40”，后跟 RSA 加密的文件加密密钥。写入加密文件头后，每个文件都被加密成相当小的 48 字节块。加密文件获得文件扩展名：'.Lorenz.sz40'。” 阅读Tesorion 发表的分析。

专家在加密过程中发现了一个错误，特别是在 CryptEncrypt 函数的使用中。

“这个错误的结果是，对于每个大小为 48 字节倍数的文件，最后 48 字节都会丢失。即使您设法从恶意软件作者那里获得解密器，也无法恢复这些字节。” 陈述分析。

专家确定，在某些情况下，他们可以解密（未损坏）受影响的文件，而无需支付赎金。

该分析还包括针对此特定威胁的入侵指标 (IoC)。