勒索MBR winpe下修复工具

wowocock

落华无痕 发表于 2020-5-3 12:19
给个勒索的mbr，工具修复不了。

有没有原始中毒样本，没得话，提取下前64个扇区发给我看看。

落华无痕

wowocock 发表于 2020-5-3 13:58
有没有原始中毒样本，没得话，提取下前64个扇区发给我看看。

不是我电脑，样本也没有了。
对方找回丢失分区，C盘找不回新建了，并重装系统后导出的前64个扇区不知道有没影响。 重新分区后.zip (2.92 KB, 下载次数: 42)

2020-5-3 15:50 上传

点击文件名下载附件


看到了，第6个扇区有原来的mbr和扇区。。。

wowocock

落华无痕 发表于 2020-5-3 15:50
不是我电脑，样本也没有了。
对方找回丢失分区，C盘找不回新建了，并重装系统后导出的前64个扇区不知道 ...

4, 版本1003 ，增加对新勒索MBR的修复。 详见 https://bbs.kafan.cn/thread-2141625-1-1.html.，这个勒索我的工具已经修复过了，重启后，按任何键，即可正常登录了。其验证输入的地方都已经被我PATCH掉了。所以按回车即可。
seg000:00D2 checkinputKey:                          ; CODE XREF: seg000:00B4↑j
seg000:00D2                 mov     cx, si
seg000:00D4                 xor     ax, ax
seg000:00D6                 mov     al, cs:8000h
seg000:00DA                 sub     al, 0FAh
seg000:00DC                 xor     al, 74h
seg000:00DE                 cmp     si, ax
seg000:00E0                 nop
seg000:00E1                 nop
seg000:00E2                 xor     si, si
seg000:00E4
seg000:00E4 loc_E4:                                 ; CODE XREF: seg000:00F4↓j
seg000:00E4                 mov     al, [si]
seg000:00E6                 xor     al, 74h
seg000:00E8                 add     al, 0FAh
seg000:00EA                 xor     al, cs:[si-7FFFh]
seg000:00EF                 test    al, al
seg000:00F1                 nop
seg000:00F2                 nop
seg000:00F3                 inc     si
seg000:00F4                 loop    loc_E4
seg000:00F6                 jmp     short loc_103

落华无痕

wowocock 发表于 2020-5-3 18:29
4, 版本1003 ，增加对新勒索MBR的修复。 详见 https://bbs.kafan.cn/thread-2141625-1-1.html.，这个勒索 ...

难怪，第一次运行看到有修复的提示，第二次没了。

然后看硬盘分区没恢复，以为没效果。。。

wowocock

落华无痕 发表于 2020-5-3 18:35
难怪，第一次运行看到有修复的提示，第二次没了。

然后看硬盘分区没恢复，以为没效果。。。

对，他这个因为加密的地方比较多，包括MBR，VBR，所以最好的方式是绕过其验证，调用其自身的解密代码即可。

dearjnana

暂时还没中标,先收藏了,感谢楼主

hanhang

进来支持下！ 进来支持下！

babaj

希望用不上！不过也感谢楼主啊

人生坎坷

先收藏了,感谢楼主

kflt2020

学习一下，感谢分享