EZIKALEXANDR/NoMatter
GitHub: EZIKALEXANDR/NoMatter
NoMatter 是一款用 C# 编写的高速破坏性勒索软件概念验证项目,演示了不可逆的数据加密与系统恢复机制摧毁技术。
Stars: 0 | Forks: 0
# NoMatter
NoMatter 是一种使用 C# 编写的破坏性木马。其旨在以极高的速度删除用户数据,且不提供恢复这些数据的可能。
# 执行
该病毒将自身注册为关键系统进程,直到加密过程完全结束。它会执行隐藏命令,彻底清除 Windows 卷影副本,删除备份目录,并禁用所有活动驱动器上的系统还原点,同时它还会更改 Windows 启动配置以禁用自动恢复和安全模式故障排除选项。它会在计算机内存中生成一个 256 位的 AES 密钥,使用它来覆盖文件(但会跳过 Windows 文件夹),然后彻底销毁该密钥,使得应用程序关闭后数据恢复成为不可能。最后,会弹出一个 msgbox,显示少量信息并附上祝贺。
# 解密?
也许是可能的。但你应该在关闭它之前创建一个病毒进程转储文件(例如通过 taskmgr)。如果你在没有这样做的情况下关闭了进程,恢复数据将毫无意义。你可以尝试通过 findaes 获取加密密钥,例如输入 `findaes.exe NoMatter.DMP`,你会得到类似这样的结果
```
Found AES-256 key schedule at offset 0x2d561c:
f9 05 7e 51 82 63 46 e5 3a ab c7 3a 99 0b 96 c6 b3 aa 48 08 5f 27 bd c7 84 4e c9 13 db ce c9 f2
Found AES-256 key schedule at offset 0x2d601c:
f9 05 7e 51 82 63 46 e5 3a ab c7 3a 99 0b 96 c6 b3 aa 48 08 5f 27 bd c7 84 4e c9 13 db ce c9 f2
```
有了这些数据,你就可以编写一个解密器,但实际上我并没有尝试过
# 编译
运行 compile.bat
## 免责声明
**本仓库提供的所有信息和软件仅供教育和研究目的使用。**
作者对因使用本软件而导致的任何误用、损坏或非法活动不承担任何责任。使用风险由您自行承担。本软件按“原样”提供,不附带任何明示或暗示的保证。
下载或使用本软件即表示您同意,您对自己的行为及由此可能产生的任何后果承担全部责任。
NoMatter 是一种使用 C# 编写的破坏性木马。其旨在以极高的速度删除用户数据,且不提供恢复这些数据的可能。
# 执行
该病毒将自身注册为关键系统进程,直到加密过程完全结束。它会执行隐藏命令,彻底清除 Windows 卷影副本,删除备份目录,并禁用所有活动驱动器上的系统还原点,同时它还会更改 Windows 启动配置以禁用自动恢复和安全模式故障排除选项。它会在计算机内存中生成一个 256 位的 AES 密钥,使用它来覆盖文件(但会跳过 Windows 文件夹),然后彻底销毁该密钥,使得应用程序关闭后数据恢复成为不可能。最后,会弹出一个 msgbox,显示少量信息并附上祝贺。
# 解密?
也许是可能的。但你应该在关闭它之前创建一个病毒进程转储文件(例如通过 taskmgr)。如果你在没有这样做的情况下关闭了进程,恢复数据将毫无意义。你可以尝试通过 findaes 获取加密密钥,例如输入 `findaes.exe NoMatter.DMP`,你会得到类似这样的结果
```
Found AES-256 key schedule at offset 0x2d561c:
f9 05 7e 51 82 63 46 e5 3a ab c7 3a 99 0b 96 c6 b3 aa 48 08 5f 27 bd c7 84 4e c9 13 db ce c9 f2
Found AES-256 key schedule at offset 0x2d601c:
f9 05 7e 51 82 63 46 e5 3a ab c7 3a 99 0b 96 c6 b3 aa 48 08 5f 27 bd c7 84 4e c9 13 db ce c9 f2
```
有了这些数据,你就可以编写一个解密器,但实际上我并没有尝试过
# 编译
运行 compile.bat
## 免责声明
**本仓库提供的所有信息和软件仅供教育和研究目的使用。**
作者对因使用本软件而导致的任何误用、损坏或非法活动不承担任何责任。使用风险由您自行承担。本软件按“原样”提供,不附带任何明示或暗示的保证。
下载或使用本软件即表示您同意,您对自己的行为及由此可能产生的任何后果承担全部责任。标签:DNS 反向解析, 勒索软件, 恶意软件, 数据破坏, 端点可见性