大家好,相信大家對於勒索病毒一定不陌生,透過木馬病毒的方式進行散布,例如透過郵件夾帶或是透過電腦軟體的漏洞加密使用者電腦裡的檔案,通常都是透過加密方式加密具有勒索價值的附檔名,如 Office 系列的 DOCX、XLSX等,或是具有特殊價值的圖片相片檔,如JPG、PNG等,讓使用者不得不支付贖金以換取解密金鑰復原檔案。
這些勒索病毒透過幾乎無法破解的加密方式進行檔案加密,且一直在變種與改進,以目前的技術而言實在難以破解,目前最有效的方法只能透過預防來減少勒索病毒的危害,如果不幸被勒索病毒加密了,該怎麼辦?目前有幾家知名防毒防毒軟體公司分別推出了特定勒索病毒的解密工具,本篇主要介紹由趨勢科技提供的免費工具 Trend Micro Ransomware File Decryptor,能將加密後的檔案進行解密,此工具支援解密的勒索病毒可以參官網提供的資訊,本篇使用 TeslaCrpyt V3 勒索病毒樣本進行解密教學。
如果不幸的您遇到新型的變種加密病毒無法透過這些工具解密,建議您將硬碟保存下來,等待未來該勒索病毒被破解或有更新的解密技術。
延伸閱讀
卡巴斯基勒索病毒檔案解密工具
軟體資訊:
語言:英文
下載點:連結
資料取於 2017/04/26 官網
勒索病毒類型
|
加密格式
|
CryptXXX V1,V2,V3 *
|
{原始文件名} .crypt,cryp1,crypz或5個十六進制字符
|
CryptXXX V4,V5
|
{MD5 Hash值} .5個十六進制字符
|
TeslaCrypt V1 **
|
{原始文件名} .ECC
|
TeslaCrypt V2 **
|
{原始文件名} .VVV,CCC,ZZZ,AAA,ABC,XYZ
|
TeslaCrypt V3
|
{原始文件名} .XXX或TTT或MP3或MICRO
|
TeslaCrypt V4
|
文件名和副檔名不變
|
SNSLocker
|
{原始文件名} .RSNSLocked
|
AutoLocky
|
{原始文件名} .locky
|
BadBlock
|
{原始文件名}
|
777
|
{原始文件名} .777
|
XORIST
|
{原始文件名} .xorist或隨機副檔名
|
XORBAT
|
{原始文件名} .crypted
|
CERBER V1
|
{10個隨機字符} .cerber
|
Stampado
|
{原始文件名} .locked
|
Nemucod
|
{原始文件名} .crypted
|
Chimera
|
{原始文件名} .crypt
|
LECHIFFRE
|
{原始文件名} .LChChrere
|
MirCop
|
Lock.{原始文件名}
|
Jigsaw
|
{原始文件名} .random副檔名
|
Globe/Purge
|
V1:{原始文件名} .purge
V2:{原始文件名} .{電子郵件地址+隨機字符} V3:副檔名未固定或文件名加密 |
DXXD
|
V1:{原始文件名}.{原始副檔名} dxxd
|
Teamxrat / Xpan
|
V2:{原始文件名} .__ xratteamLucked
|
Crysis
|
。{id}.{email address} .xtbl,.{id}.{email address} .dharma, crypt
|
TeleCrypt
|
{原始文件名}
|
DemoTool
|
.demoadc
|
備註
- * - 被 CryptXXX V3 加密的檔案,可能無法完整還原成原始檔案(部分解密)。
- ** - RansomwareFileDecryptor 1.0.xxxx MUI 僅能解密 TeslaCrypt V3、TeslaCrypt V4,因此若您被加密的類型屬 TeslaCrypt V1、TeslaCrypt V2,有另外下載 TeslacryptDecryptor 1.0.xxxx MUI 解密工具使用的需求,您可洽詢趨勢科技技術支援中心取得。
教學:
作為加密樣本的檔案
使用勒索病毒樣本 TeslaCrpyt V3 加密後的檔案樣本。
到官網下載解密工具後並執行該工具,此時會有使用者條款,閱讀完後點擊同意。
該工具第一步會要求選擇勒索病毒類型並點擊選擇。
此時會要求您選擇受加密感染的檔案。
此時工具會分析出勒索病毒的類型。(本篇使用TeslaCrpyt V3勒索樣本,分析無誤)
接下來第二步選擇解密恢復的資料夾。
等待工具解密完成。
解密後的檔案會放在同一個檔案位置。
歡迎提供意見交流。 20170501
沒有留言:
張貼留言