【図表】
図1: テスト1:暗号化装置の動作例
図2. テスト#2:暗号化装置の動作
図3 WriteFile操作のコールスタックの表示 WriteFile操作のコールスタックの表示
図4. 暗号化されたコンテンツをディスクに書き戻すコード
図5. 図4のデコンパイル
図6. 暗号化器のマルチスレッド初期化と暗号化を実行する隠しスレッドの使用
図7. NTSTATUSの値
図8. 復号化ブロブは見つかりましたが、想定されるファイルの末尾にはありません
図9. ファイルサイズと対象となる暗号化されたデータベースファイル
図10. 復号化ブロブの正しい位置合わせ(復号器を再実行する前に
図11. (左) 暗号化されたファイル、(右) 正常に復号化されたファイル
出典: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254354
【ブログ】
◆LockBit 2.0 ransomware bugs and database recovery attempts (Microsoft, 2022/03/11 10:01)
[LockBit 2.0ランサムウェアのバグとデータベース復旧の試み ]
https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254354