2022年9月份用友金蝶勒索病毒样本+几万买的解密程序

chongtianlong

这是我花了几万块买的解密程序，当时被病毒锁了之后备份时间太久了，无奈交了钱要回了数据，现将病毒样本和解密程序发出来，
希望中了的人能解出来，解不出来也希望大牛能抽空研究，不在向这些明抢的强盗低头。

解压密码：52pojie

链接：https://pan.baidu.com/s/1uvgGB4R1fe781vna2LEH7w
提取码：zzjh

chongtianlong

sbwfnhn 发表于 2022-12-29 16:53
10年前维护过用友，金蝶、管家婆。这些垃圾软件现在打死都不想碰。和windows 高度融合，备份不只是光备份数 ...

那帮垃圾穷的跟狗一样能用的起oracle？用的mssql，还特么是盗版的，出了问题就推责任，平时收费比谁都积极，这次出事还在那里扯，忽悠我花钱升级，我草他妈，他的问题我埋单，直接问候他祖宗十八代，钱扔了都不给他，所以直接买了快照备份，中毒就恢复，踏马就是不给钱，爱咋咋地。

MIAIONE

dec.exe 使用 C# / .NET Framework 4.0 编写

[C#] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

public static bool FileDecryptNew(string inputFile, string outputFile, string privateKey, int size)         {             bool result = true;             byte[] array = new byte[0x80];             FileStream fileStream = new FileStream(inputFile, FileMode.Open);             fileStream.Read(array, 0, 0x80);             byte[] src = new RSAUtil().DecryptByBytes(array, privateKey);             byte[] array2 = new byte[0x20];             byte[] array3 = new byte[0x10];             Buffer.BlockCopy(src, 0, array2, 0, array2.Length);             Buffer.BlockCopy(src, 0x20, array3, 0, array3.Length);             CryptoStream cryptoStream = new CryptoStream(fileStream, new RijndaelManaged             {                 KeySize = 0x100,                 BlockSize = 0x80,                 Key = array2,                 IV = array3,                 Padding = PaddingMode.PKCS7,                 Mode = CipherMode.CFB             }.CreateDecryptor(), CryptoStreamMode.Read);             FileStream fileStream2 = new FileStream(outputFile, FileMode.Create);             byte[] array4 = new byte[size];             try             {                 int count;                 while ((count = cryptoStream.Read(array4, 0, array4.Length)) > 0)                 {                     fileStream2.Write(array4, 0, count);                 }             }             catch (CryptographicException ex)             {                 result = false;                 Console.WriteLine("CryptographicException error: " + ex.Message);             }             catch (Exception ex2)             {                 result = false;                 Console.WriteLine("Error: " + ex2.Message);             }             try             {                 cryptoStream.Close();             }             catch (Exception ex3)             {                 result = false;                 Console.WriteLine("Error by closing CryptoStream: " + ex3.Message);             }             finally             {                 fileStream2.Close();                 fileStream.Close();             }             return result;         }

从上面看, 这程序利用他给你的pem私钥, 读取每个文件前0x80长度byte, 然后使用RSA解密 key和 iv, 然后利用 crypto stream (AES) 解密, 是最简单纯粹的 AES +RSA 标准, 非常安全, 所以没有pem你就无法提取每个文件的不同key/iv, 自然就无法解密了, 这个pem文件应该是 他发给你的吧? 他那再用RSA 把每个受害者 pem加密, 理论上这样 它不需要你的 pem, 他只要有私钥就行了, 是勒索病毒惯用方法, 注意防范才是根本方法.

xt10086

会不会是一个毒一个解密软件的解密码。不同码还不一样，不能同解

刘统宝

等着大牛的好消息

601541027

看着是度盘，瞬间没心情下了

sbwfnhn

10年前维护过用友，金蝶、管家婆。这些垃圾软件现在打死都不想碰。和windows 高度融合，备份不只是光备份数据库。
不知道现在的用友、金蝶能不能用oracle或mysql等。
也不知道用友、金蝶备份是不是只要备份数据库就可以了。

如果只要备份数据库，搭个异地数据库主从，加上binlog。系统直接从windows变linux，再牛的病毒，也不可能windows与linux同时感染。

chongtianlong

MIAIONE 发表于 2022-12-29 16:37
dec.exe 使用 C# / .NET Framework 4.0 编写

[mw_shl_code=csharp,true]public static bool FileDecrypt ...

对的，就是rsa，公私和私钥配对解密的

chongtianlong

601541027 发表于 2022-12-29 16:09
看着是度盘，瞬间没心情下了

几个KB，要啥心情？

chongtianlong

感谢各位大佬赏币