大家好,今天要繼續介紹由 艾維斯特 Avast 出品的解密工具,相信大家對於勒索病毒一定不陌生,透過木馬病毒的方式進行散布,例如透過郵件夾帶或是透過電腦軟體的漏洞加密使用者電腦裡的檔案,通常都是透過加密方式加密具有勒索價值的附檔名,如 Office 系列的 DOCX、XLSX等,或是具有特殊價值的圖片相片檔,如JPG、PNG等,讓使用者不得不支付贖金以換取解密金鑰復原檔案。
這些勒索病毒透過幾乎無法破解的加密方式進行檔案加密,且一直在變種與改進,以目前的技術而言實在難以破解,目前最有效的方法只能透過預防來減少勒索病毒的危害,如果不幸被勒索病毒加密了,該怎麼辦?目前有幾家知名防毒防毒軟體公司分別推出了特定勒索病毒的解密工具,本篇主要介紹由 艾維斯特 Avast 提供的免費工具將加密後的檔案進行解密,此工具支援解密的勒索病毒可以參官網提供的資訊,本篇使用 TeslaCrpyt V3 勒索病毒樣本進行解密教學。
如果不幸的您遇到新型的變種加密病毒無法透過這些工具解密,建議您將硬碟保存下來,等待未來該勒索病毒被破解或有更新的解密技術。
延伸閱讀
卡巴斯基勒索病毒檔案解密工具
軟體資訊:
語言:中文
下載點:連結
資料取於 2017/05/01 官網 ※(參考官網有更詳細的說明)
勒索病毒類型
|
被加密檔案副檔名
|
Alcatraz Locker
|
.Alcatraz
|
Apocalypse
|
.encrypted、.FuckYourData、.locked、
.Encryptedfile、.SecureCrypted
勒索訊息: How_To_Decrypt.txt、.Where_my_files.txt
|
BadBlock
|
不會修改檔名,請參照位於 Help Decrypt.html 內的訊息判定
|
Bart
|
.bart.zip、.bart
|
Crypt888
|
檔案名稱開頭加上 Lock.(file.exe 變成 Lock.file.exe)
|
CryptoMix
|
.CRYPTOSHIELD、scl、rscl、lesli、rdmk、code、rmd
|
CrySiS
|
.ID隨機數字及字母.信箱位址.xtbl
.ID隨機數字及字母.信箱位址.CrySiS
.id-隨機數字及字母.信箱位址.xtbl
.id-隨機數字及字母.信箱位址.CrySiS
|
Globe
|
.ACRYPT、.GSupport[0-9 ]、.blackblock、.dll555、
.duhust、.exploit、.frozen、.globe、.gsupport、.kyra、
.purged、.raid[0-9]、.siri-down@india.com、.xtbl、
.zendrz、.zendr[0-9]、.hnyear
|
HiddenTear
|
.locked、.34xxx、.bloccato、.BUGSECCCC、.Hollycrypt、
.lock、.saeid、.unlockit、.razy、.mecpt、.monstro、.lok、
.암호화됨、.8lock8、.fucked、.flyper、.kratos、.krypted、
.CAZZO、.doomed
|
Jigsaw
|
.kkk、.btc、.gws、.J、.encrypted、.porno、.payransom、
.pornoransom、.epic、.xyz、.versiegelt、.encrypted、
.payb、.pays、.payms、.paymds、.paymts、.paymst、
.payrms、.payrmts、.paymrts、.paybtcs、.fun、.hush、
.uk-dealer@sigaint.org、.gefickt
|
Legion
|
._23-06-2016-20-27-23_$f_tactics@aol.com$.legion
|
NoobCrypt
|
不會修改檔名,請參照位於 ransomed.html 內的訊息判定
|
Stampado
|
.locked
|
SZFLocker
|
.szf
|
TeslaCrypt
|
.ECC、.EZZ、.EXX、.XYZ、.ZZZ、.AAA、.ABC、.CCC、
.VVV、.TTT、.XXX、.MICRO、.MP3 及檔案被加密但未有修改副檔名
|
教學:
被 TeslaCrpyt V3 勒索病毒加密後樣本檔案,根據加密後副檔名 mirco,到官方網站尋找解密工具
找到 TeslaCrpyt 解密工具並下載。
下載完成後並執行
選擇要解密的硬碟或資料夾,透過 DEL、INS、F2 鍵編輯清單。
除了新增本機位置以外,也可以新增網路位置以及個別的資料夾位置。
第一個項目為備份被加密的檔案,第二個項目為使用系統管理員權限執行解密。
如果沒特別需求建議維持預設,避免解密失敗造成加密檔消失或無法正常執行解密。
系統便會開始執行掃瞄並解密。
解密完成後。
解密後的樣本資料,如果資料有問題可以BACKUP的副檔名去除,用其他解密工具進行解密。
歡迎提供意見交流。 20170504
找到 TeslaCrpyt 解密工具並下載。
選擇要解密的硬碟或資料夾,透過 DEL、INS、F2 鍵編輯清單。
除了新增本機位置以外,也可以新增網路位置以及個別的資料夾位置。
第一個項目為備份被加密的檔案,第二個項目為使用系統管理員權限執行解密。
如果沒特別需求建議維持預設,避免解密失敗造成加密檔消失或無法正常執行解密。
系統便會開始執行掃瞄並解密。
解密完成後。
解密後的樣本資料,如果資料有問題可以BACKUP的副檔名去除,用其他解密工具進行解密。
歡迎提供意見交流。 20170504
解密完成多了backup要怎麼開啟 例如圖片擋那些的 有點困擾
回覆刪除您好,
刪除backup檔是原本被加密的檔案喔,
解密工具會將原本被加密的檔案進行備份然後再開始解密,
主要是避免資料解密失敗,備份的檔案可以在嘗試使用其他軟體解密。
不好意思 能加個fb嗎 有點是想請教0.0
刪除BACKUP就是被解密完的備份還是? 請問大大有甚麼推薦的軟體嗎
回覆刪除您好
回覆刪除BACKUP 就是您被加密檔案的備份,舉個例,原本的音樂檔
音樂一.mp3
被勒索軟體加密後
音樂一.mp3.micro
解密軟體在解密前會先被備份被加密的檔案,所以會變成
音樂一.mp3.micro
音樂一.mp3.micro.backup
然後再對
音樂一.mp3.micro做解密,如果解密成功就會變成
音樂一.mp3
音樂一.mp3.micro.backup
如果解密成功,那麼備份的backup檔就可以刪除,
如果解密失敗,您可以用備份的backup檔用其他解密軟體嘗試解密。
解密軟體沒有好壞,請依照您被勒索軟體加密的類型選擇適合的解密軟體。
如果您不清楚被什麼類型的勒索軟體加密請參考:
http://kaedeknowledge.blogspot.com/2017/05/id-ransomware.html
我解密完 .locked不見了 可是原本的jpg檔還是開不了
刪除您好,
刪除解密後,檔案依舊打不開表示解密失敗,
解密工具不一定可以成功解密檔案,所以才會出現.backup的備份檔,
請將備份的檔案(檔案.locked.backup)
將檔名改回(檔案.locked)
在使用其他解密工具嘗試解密。
locked勒索加密的可以透過:
卡巴斯基推出的Rakhni Decryptor解密工具嘗試解密
卡巴斯基解密工具官方網站
https://noransom.kaspersky.com/
教學可以參考本篇
http://kaedeknowledge.blogspot.tw/2017/05/kaspersky-ransomware-decryption-tools.html
EMSISOFT解密工具官方網站
https://decrypter.emsisoft.com/
教學可以參考本篇
http://kaedeknowledge.blogspot.tw/2017/05/emsisoft-ransomware-decryption-tools.html
請問版主:
回覆刪除我是用趨勢科技的解密工具但是失敗(附檔名是crypt1),那這樣借用"敬旻陳"的案例來類比,解完密之後發現解出來的jpg檔也是開不起來,那這樣看起來就是失敗,那請問這個jpg檔應該可以刪掉吧?那後續的處理方式是不是如您所述的"請將備份的檔案(檔案.locked.backup),將檔名改回(檔案.locked)",再嘗試使用其他的解密工具?
謝謝版主的這篇文章
您好,
刪除是的,將檔名改回再用其他工具即可。