前言
特征
勒索内容:
Annabelle 使用 AES256 CBC 加密用户文件,并带有硬编码密钥和 IV。
注意事项:
1.恶意软件在第一阶段锁定PC屏幕,并在第二阶段更改 MBR。为了使用该工具,用户应执行以下操作:
-
恢复 MBR(如果可能,通过各种工具更换/更改) -
删除注册表项和确保恶意软件已离线或使用 rescue-CD -
使用 BDAnnabelleDecryptor 工具解密文件
2.由于使用 AES 加密,结果消息的大小将是 16 字节的倍数。因此,在解密后,文件末尾可能会保留几个字节(最多 15 个字节)。这不会影响文件,并且在解密过程中无法删除它们,因为没有原始文件大小的标记。
工具使用说明
工具下载地址
点击关注下方名片进入公众号
回复关键字【Annabelle】获取下载链接
更多资讯 扫码加入群组交流
原文始发于微信公众号(solar专业应急响应团队):【工具分享】Annabelle勒索病毒解密工具