【工具分享】Annabelle勒索病毒解密工具

前言

Annabelle勒索病毒灵感来自恐怖电影系列 Annabelle。除了文件加密功能外,Annabelle 勒索软件还会试图禁用防火墙,强制停止一系列正在运行程序,通过连接的 USB 驱动器进行传播。

特征

勒索内容:

【工具分享】Annabelle勒索病毒解密工具

Annabelle 使用 AES256 CBC 加密用户文件,并带有硬编码密钥和 IV。

加密文件示例:

【工具分享】Annabelle勒索病毒解密工具

注意事项:

1.恶意软件在第一阶段锁定PC屏幕,并在第二阶段更改 MBR。为了使用该工具,用户应执行以下操作:

  • 恢复 MBR(如果可能,通过各种工具更换/更改)
  • 删除注册表项和确保恶意软件已离线或使用 rescue-CD
  • 使用 BDAnnabelleDecryptor 工具解密文件

2.由于使用 AES 加密,结果消息的大小将是 16 字节的倍数。因此,在解密后,文件末尾可能会保留几个字节(最多 15 个字节)。这不会影响文件,并且在解密过程中无法删除它们,因为没有原始文件大小的标记。

工具使用说明

简介:该工具可以解密被 Annabelle 勒索软件加密的文件。您可以通过附加在加密文件扩展名中的 (ANNABELLE) 来识别这种勒索软件。
解密步骤:
步骤1:双击文件(之前另存为 BDAnnabelleDecryptor.exe),允许其运行,并点击 UAC 提示符中的“是”。
【工具分享】Annabelle勒索病毒解密工具
步骤2:选择“我同意”以接受最终用户许可协议。
【工具分享】Annabelle勒索病毒解密工具
步骤3:选择“扫描整个系统”,如果要搜索所有加密文件或仅添加加密文件的路径。我们建议在开始解密过程之前选择“备份文件”,以防解密过程中发生任何问题。然后点击“扫描”。
【工具分享】Annabelle勒索病毒解密工具
在完成以上步骤后,您的文件应该已解密。

工具下载地址

点击关注下方名片进入公众号

回复关键字【Annabelle】获取下载链接


更多资讯 扫码加入群组交流

【工具分享】Annabelle勒索病毒解密工具


喜欢此内容的人还喜欢


【工具分享】Amnesia2勒索病毒解密工具

索勒安全团队


【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密

索勒安全团队

【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析

索勒安全团队


原文始发于微信公众号(solar专业应急响应团队):【工具分享】Annabelle勒索病毒解密工具

版权声明:admin 发表于 2024年5月8日 上午9:38。
转载请注明:【工具分享】Annabelle勒索病毒解密工具 | CTF导航

相关文章