大家好,相信大家對於勒索病毒一定不陌生,在各大電腦相關的討論區裡,每隔數日就會有網友發文表示電腦中了勒索病毒,且中的勒索病毒種類更是百百種,勒索病毒的種類及感染的方式更是讓許多防毒軟體的無法偵測,如果電腦不幸中了勒索病毒,該如何從不斷變種的勒索病毒中,得知是中了哪一款勒索病毒呢?透過 ID Ransomware 只要上傳兩個檔案,網站就會分析出勒索病毒的種類。
ID Ransomware 是一個只要上傳勒索病毒所留下的說明檔案(文字檔或網頁檔)以及一個被加密的檔案,網站就會分析該勒索病毒屬於什麼種類的勒索病毒,以及是什麼勒索並得的變種、衍生版本,若該款勒索病毒是有破解發法的,網站便會提供解密程式的連結,不過大多數的勒索病毒是無解的,建議如果無解將硬碟保存下來,等待未來該勒索病毒破解或有更新的技術解決勒索病毒。
相關資訊:
語言:英文
官方網站:連結
延伸閱讀
教學:
開啟網站後,可以找Ransom Note及 Sample Encrypted File 兩個上傳項目。
選擇勒索軟體留下的文字檔或網頁檔。
接下來選擇被感染的檔案。
選擇被感染的檔案
兩者選擇完畢後,點擊 upload 開始分析。
如果顯示該勒索病毒類型,且如果顯示 This ransomware is decryptable! 那麼恭喜你,此勒索病毒是有解的,點擊下方連結可以找到相關的解密工具。
如果顯示如下圖,則表示該勒索病毒目前無解,如果資料非常重要建議將硬碟封存,等待未來該勒索病毒破解或有更新的技術解決勒索病毒。
歡迎提供意見交流。 20170502
感謝您寫這篇文章讓我知道我自己中了什麼勒索病毒...T_T
回覆刪除分析結果是Cry128,似乎有出現解毒的工具...英文無能...
自己用google翻譯試試看,方法說檔案拖曳到解毒工具執行...
但都失敗= = 都顯示這串
the files you provided do not appearto be a valid CryptON file pair or are unfit for decryption purposes. please proyide files of size 128 kb and larger.the encrypted file needs to be exactly 68 bytes bigger than the unencrypted version of the file.
能有教學文嗎?Orz
然後我的檔名都是這樣XXX.mp3後面都.id_139385243_gebdp3k7bolalnd4.onion
你好,Cry128勒索軟體,Emsisoft 防毒軟體公司有提供相關的解密工具,屬於CryptON衍生或分支版本,不過由於找不到Cry128勒索樣本,沒辦法進行相關測試,所以只好根據官方提供的解密工具說明書進行說明。
刪除cry128 解密工具官方網站,點擊網頁右方的DOWNLOAD按鈕下載解密工具
https://decrypter.emsisoft.com/cry128
該解密工具的說明書
https://decrypter.emsisoft.com/howtos/emsisoft_howto_cry128.pdf
**第一步**
請務必確認電腦中所有的惡意程式已經清除。
**第二步**
該解密工具需要一個"未被加密的檔案A"以及一個"被加密的檔案A"才能進行分析。
以MP3為例,就到當初下載的地方再下載一次,然後跟被加密的檔案一起拖曳到解密工具內。
**第三步**
沒有解密工具保證100%能解密檔案,重要檔案請解密前,務必在進行備份。
詳細操作請參閱
http://kaedeknowledge.blogspot.tw/p/how-to-use-emsisoft-decrypter-for-cry128.html
非常謝謝您的回覆與說明!再次試了一次~有出現運作視窗,但跑到100%就又沒下文了...
刪除依舊失敗了= = 只能重灌了吧!對了~想問一下中了勒索病毒裡面檔案會傳染嗎?
想說把中勒索病毒被鎖的檔案移到隨身碟,希望有一天能有工具能解密,這樣可行嗎?
你好,
刪除一般來說勒索軟體在加密後,會我自我刪除,僅留下加密後的檔案以及勒索的相關訊息,
而之後防毒軟體掃到的檔案基本上都是勒索軟體留下來用來提示使用者交付贖金的程式,
我目前測試的幾隻勒索樣本都是這種模式,檔案之間是不會互相感染的,除非加密程式還
存在,不過我手上的樣本已經很舊了,現在勒索軟體一直在變種與改進,建議還是先掃毒
確認勒索軟體清除後,再進行備份。
這裡有篇對於cry128的相關討論可以參考看看
https://www.mobile01.com/topicdetail.php?f=508&t=5141832
補充:
刪除關於備份的部分,建議是整顆硬碟拆下保存,根據網路上部分交付
贖金獲得的解密程式都需檔案在原路徑才能解密,因此不建議用搬
移的方式備份。
除了透過解密工具以外
還可以透過Recuva、R-Studio等這類的檔案救援軟體救援看看,
勒索軟體可能在加密的過程中會對原始檔案進行複製,加密後再刪除
無解的情況下可以嘗試使用檔案救援軟體,有機會可以救回檔案
有點不太準
回覆刪除測出來是CRY9
可是其實是CRY128 36bytes的版本
只能等他們研究出解密程式了
網站可能還沒收集足夠的數據或還沒更新吧,
刪除畢竟 CRY128 是近期才出現的勒索軟體,
而且短期內又出現 +36bytes 的改進衍生版,
只能等 Emsisoft 破解或有其他防毒軟體公司破解囉。
不準+1
刪除測出來是Cry9
但是副檔名onion好像是Cry128的
用Emsisoft的解密程式針對Cry9或Cry128兩個版本都不行...9完全開不起來~128跑到100%失敗
請教大大
回覆刪除使用查詢網站測得知
附檔名:encrypted
勒索病毒:Crypt0L0cker
請問有正確解鎖軟體嗎?
趨勢軟體好像無解
您好,
刪除該勒索病毒目前應該無解,
建議先將被加密的資料保存下來,
等待未來該勒索病毒被破解。
感恩
刪除希望有解的一天
等很久了
損失慘重
你好請問
刪除我使用查詢網站測試無法判斷
副檔名為lrwmodut
那請問這是何種勒索病毒?
有解碼?
您好
刪除現在新的勒索病毒副檔名幾乎都是亂數,讓人無法查找相關的資料,
目前這類新型的勒索病毒都是無解的。