我有一台计算机,其中的文件是使用 XWorm RAT 加密的。
我基本上处于本指南的第四阶段:https://cert.pl/en/posts/2023/10/deworming-the-xworm/
我需要解密设置的帮助,以便获得解密驱动器上文件的密钥。
这些是我使用 dnSpy 获得的设置:
Settings.Hosts = "8tTXV9a9AFcRqsRJFFyoEVOfBdKPmHd9C2JvIKS2ztI=";
Settings.Port = "VWbZg7fsty6UuYLnN3M1QA==";
Settings.KEY = "uz4zFRJUvuZJglv/rn8ARg==";
Settings.SPL = "v9W8bQzsRDg8xzlnkeg2HA==";
Settings.Sleep = 3;
Settings.Groub = "3RlLGCX1eonAVFkc7MryEQ==";
Settings.USBNM = "LniNqIXNO7OSk0lZaS6HeQ==";
Settings.Mutex = "FxwhhRft8tFCNpWd";
我没有真正的 C# 经验,所以我不知道从哪里开始运行在该链接中找到的解密器。
要解密 XWorm RAT 中的设置,请使用指南第 4 阶段中描述的解密逻辑执行以下步骤:
使用互斥体的 MD5 哈希值作为 AES 密钥。 ECB模式下的AES用于解密。 这是一个基于给定描述的简单 C# 解密器:
using System;
using System.Security.Cryptography;
using System.Text;
internal class XwormUnpacker
{
public static string Mutex = "QjEV8RvoMfefc5wG";
public static string Decrypt(string input)
{
using (var rijndael = new RijndaelManaged { Mode = CipherMode.ECB, Padding = PaddingMode.PKCS7 })
{
using (var md5 = new MD5CryptoServiceProvider())
{
byte[] key = new byte[32];
byte[] md5Hash = md5.ComputeHash(Encoding.UTF8.GetBytes(Mutex));
Array.Copy(md5Hash, 0, key, 0, 16);
Array.Copy(md5Hash, 0, key, 16, 16); // ECB mode doesn't use IV
rijndael.Key = key;
byte[] encryptedBytes = Convert.FromBase64String(input);
using (var decryptor = rijndael.CreateDecryptor())
{
byte[] decryptedBytes = decryptor.TransformFinalBlock(encryptedBytes, 0, encryptedBytes.Length);
return Encoding.UTF8.GetString(decryptedBytes);
}
}
}
}
public static void Main()
{
string[] encryptedStrings = { "F4jr/vvTrT1jYHVO/VWT9g==", "/WlVZ8FqvqpYNxMp1wqBug==", "Di1EUQaCkxj4NsuYE84xZA==", "pYRh1ZaEpqOA/SOh8SP6CA==", "ZpMt/fhAbZH/LD/BPRS9HQ==" };
foreach (var encrypted in encryptedStrings)
{
Console.WriteLine(Decrypt(encrypted));
}
}
}
步骤:
这将为您提供 XWorm RAT 的解密配置设置。