TaRRaK 勒索病毒在

出现。这种勒索病毒包含许多编码错误，因此我们决定撰写一篇小博客来讨论这些问题。我们在用户群体中发现了该勒索病毒的样本，因此我们也为其创建了一个解密工具。

跳至使用 TaRRaK 解密器的说明。

勒索病毒的行为

该勒索病毒是用 .NET 编写的。其二进制文件非常干净，没有保护或混淆。当执行时，样本会创建一个名为 TaRRaK
的互斥体，以确保只有一个实例的恶意软件被执行。此外，还会创建一个自动启动注册表条目，以便在每次用户登录时执行勒索病毒：

该勒索病毒包含 178 种文件类型（扩展名）的列表，一旦发现这些文件，就会被加密：

3ds 7z 7zip acc accdb ai aif apk asc asm asf asp aspx avi backup bak bat binbmp c cdr cer cfg cmd cpp crt crw cs csproj css csv cue db db3 dbf dcr dds derdmg dng doc docm docx dotx dwg dxf dxg eps epub erf flac flv gif gpg h htmlico img iso java jpe jpeg jpg js json kdc key kml kmz litesql log lua m3u m4am4u m4v max mdb mdf mef mid mkv mov mp3 mp4 mpa mpeg mpg mrw nef nrw obj odbodc odm odp ods odt orf p12 p7b p7c part pdb pdd pdf pef pem pfx php plist pngppt pptm pptx ps ps1 psd pst ptx pub pri py pyc r3d raf rar raw rb rm rtf rwlsav sh sln suo sql sqlite sqlite3 sqlitedb sr2 srf srt srw svg swf tga thm tiftiff tmp torrent txt vbs vcf vlf vmx vmdk vdi vob wav wma wmi wmv wpd wps x3fxlk xlm xls xlsb xlsm xlsx xml zip

勒索病毒会避免访问包含以下字符串的文件夹：

• All Users\Microsoft\
• $Recycle.Bin
• :\Windows
• \Program Files
• Temporary Internet Files
• \Local\Microsoft\
• :\ProgramData\

被加密的文件会被更改为 .TaRRaK 扩展名，且其开头包含 TaRRaK 签名：

文件加密

加密的实现是一个典型的出错代码示例：

首先，勒索病毒尝试使用 File.ReadAllBytes() 将整个文件读取到内存中。该函数有一个内部限制，最多只能加载 2 GB
的数据。如果文件更大，则该函数会抛出异常，该异常会被 try-catch 块处理。不幸的是，try-catch 块仅处理权限被拒绝的情况。因此，它会添加一个
ACL条目，授予每个人完全访问权限并重试读取数据的操作。如果出现任何其他错误（读取失败、共享冲突、内存不足、从离线文件读取），则异常会再次被抛出，勒索病毒将陷入无限循环。

即使数据加载操作成功且文件数据能够适应内存，仍然存在另一个问题。Encrypt 函数将字节数组转换为 32 位整数数组：

因此，它会分配一个与文件大小相同的内存块。然后，它使用自定义加密算法进行加密操作。加密后的 Uint32数组被转换为另一个字节数组并写入文件。因此，除了为原始文件数据分配的内存外，还分配了两个额外的内存块。如果任何内存分配失败，会抛出异常，勒索病毒再次陷入无限循环。

在极少数情况下，如果加密过程完成（没有共享冲突或其他错误），名为 Encrypted Files by TaRRaK.txt
的赎金说明文件将被放置在每个驱动器的根文件夹中：

具有 .TaRRaK 扩展名的文件将与其自身的图标关联：

最后，桌面墙纸会更改为以下位图：

如何使用 Avast 解密器解密被 TaRRaK 勒索病毒加密的文件

要解密您的文件，请按照以下步骤操作：

1. 您必须使用与加密文件相同的用户帐户登录。
2. 下载免费的 Avast 解密器，适用于 或 Windows。
3. 运行可执行文件。该程序以向导的形式启动，引导您完成解密过程的配置。

4. 在初始页面上，您可以查看许可证信息（如果愿意），但您只需点击“下一步”

5. 在下一页，选择您希望搜索和解密的位置列表。默认情况下，它包含所有本地驱动器的列表：

6. 在最后一页，您可以选择备份加密文件。如果在解密过程中出现任何问题，这些备份可能会帮助您。此选项默认启用，我们建议您保留。点击“解密”后，解密过程将开始。让解密器运行并等待其完成对您所有文件的解密：

IOCs

SHA256
00965b787655b23fa32ef2154d64ee9e4e505a42d70f5bb92d08d41467fb813d47554d3ac4f61e223123845663c886b42016b4107e285b7da6a823c2f5050b86aafa0f4d3106755e7e261d337d792d3c34fc820872fd6d1aade77b904762d212af760d272c64a9258fab7f0f80aa2bba2a685772c79b1dec2ebf6f3b6738c823

标记为
、、、

分享：XFacebook