Uno script per ricercare i file criptati dal ransomware Spora

Michael Gillespie, esperto di sicurezza informatica e autore di ID Ransomware, ha appena pubblicato uno script in Python per ricercare tutti i file criptati dal ransomware Spora. Il file è accessibile su Gist al seguente link.

Lo ricopio di seguito a futura memoria (non si sa mai, meglio essere previdenti con il Web).

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
"""
Spora Encryption Checker
Author: @demonslay335
"""
 
import sys
import zlib
import struct
import os
 
def bytestohex(bytes):
	return struct.unpack("<L", bytes)[0]
 
def check_spora(filename):
	fencrypted = open(filename,'rb')
	content_encrypted = fencrypted.read()
 
	aes_buffer = content_encrypted[-132:]
	aes_buffer = aes_buffer[:128]
	crc32_buffer = content_encrypted[-4:]
 
	return zlib.crc32(aes_buffer) == bytestohex(crc32_buffer)
 
if len(sys.argv) == 2:
 
	print("*Spora Encryption Checker*\n")
 
	for subdir, dirs, files in os.walk(str(sys.argv[1])):
		for file in files:
			full_path = os.path.join(subdir, file)
			if(check_spora(full_path)):
				print ("[!] File encrypted: %s" % full_path.encode('utf-8'))
else:	
 
	print("Error: please provide a path\nSyntax: python %s " % sys.argv[0])

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Utilizzando il sito, accetti l'invio dei cookies da parte nostra. Maggiori informazioni

Questo sito utilizza i cookies per fornire la migliore esperienza di navigazione possibile. Continuando ad utilizzarlo senza modificare le impostazioni o cliccando su "Accetta" acconsenti al loro utilizzo.

Chiudi