一种针对GandCrab勒索病毒加密文件后的解密方法

摘要

本发明公开了一种针对GandCrab勒索病毒加密文件后的解密方法，其特征在于包括以下步骤：S100：查找各目录下经随机加密且后缀名为DECRYPT的勒索通知信息文件，并查找所述勒索通知信息文件中以标识符为BEGIN GANDCRAB KEY起始且以标识符为END GAND CRAB结尾的加密信息，加密信息为第二次RSA公钥加密并以Base64编码格式表示的加密信息，其中，GandCrab勒索病毒的版本为5.1；S200：采用RSA解密算法解密所述加密信息，获取以Base64编码格式表示的、第二次RSA私钥解密后的信息，所述信息为第一次RSA加密的私钥；S300：对所述以Base64编码格式表示的、第二次RSA私钥解密后的信息进行Base64解密，以获取解密后的第一次RSA加密的私钥；S400：寻找RSA加密后的Salsa20的密钥和初始向量；S500：采用Salsa20的密钥和初始向量解密所述加密文件。