独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)文章,该文对LIVE1.0版本解密工具进行分析并提供了该工具的下载地址。

此解密器由之前某受害用户支付赎金向黑客购买所得,在分析了该解密器的基础上,通过patch可以制作出其他受害者的解密器。

LIVE1.0、1.5、2.0解密工具合集 第5张插图

用户选择操作模式:程序提供三种操作模式供用户选择:
单一文件解密。
整个文件夹解密。
递归搜索指定路径下所有文件并尝试解密。
文件解密逻辑:核心功能是通过decrypt_data函数实现,该函数接收一个被加密文件的数据,并尝试将其解密。解密过程涉及对文件数据的逐字节操作,使用了特定的加密盒(encryption_sbox)、加密密钥(encryption_key)、初始化向量(encryption_iv)以及一个加密特征尾(characteristic)用于识别和处理文件尾部。
文件处理:
encrypt_file函数接收一个文件路径,读取文件内容,并调用decrypt_data进行解密,然后将解密后的数据写回到新的文件中,去除.LIVE后缀。
list_files_in_directory函数用于处理一个目录下的所有文件,对于每个.LIVE后缀的文件调用encrypt_file函数尝试解密。
对于递归模式,脚本遍历用户指定路径下的所有文件夹和文件,对找到的每个.LIVE后缀的文件尝试解密。