Soft2Secure

刪除Cry128 / Cry9 ransomware勒索病毒並解密鎖定文件

刪除Cry128 / Cry9 ransomware勒索病毒並解密鎖定文件

外部似乎不同的Ransom Trojans通常可能歸因於相同的加密威脅。 Cry128和Cry9菌株就是這種情況。每個菌株都有被受妥協的獨特指標,共同點就是CryptON,或是Nemesis,它們都來自ransomware家族的。

什麼是Cry128 / Cry9 ransomware?

Cry128和Cry9文件加密威脅來自共同的根源。就像它們惡意的兄弟Nemesis和X3M一樣,它們是由相同的構建器創建出來的,這構建器是一個特製的工具,可以幫助和自動化生成ransomware可執行文件的工作流程。該系列的通用名稱是CryptON。它於2016年下半年開始活躍,並產生了一些衍生品。這個組織的最新樣本是通過一個強大的加密程序來拿取個人數據,然後進行卑鄙的勒索機制。為了鎖定文件,它們利用以電子代碼本(ECB)模式運行的AES(高級加密標準)的定製版本。這個例程的副產品最初看似不可能檢索超出基於的付款方法,是生成1024-bit加密和解密密鑰 。

Cry128 / Cry9 ransomware加密的文件

有趣的是,CryptON的Cry128 / Cry9變體是不具備預定義的目標數據格式列表。換句話說,ransomware配置是為了在電腦裡將所有被發現的文件進行編碼。它在HDD和網絡驅動器遍歷過程中唯一跳過的路徑包括Program Files,Windows以及從其啟動的文件夾。這些排除的動機是顯而易見的 – 在衝擊期間,欺騙者需要機器順利進行。應用上述加密機制拒絕進入受害者的個人文件,Cry128 ransomware版本將會在文件附加以下擴展之一:.id_[victim ID]_gebdp3k7bolalnd4.onion._, .id_[victim ID]_2irbar3mjvbap6gt.onion.to._, .id-[victim ID]_[qg6m5wo7h3id55ym.onion.to].63vc4, 或 .fgb45ft3pqamyji7.onion.to._。

推高昂貴的Nemesis Decryptor工具的贖金條

反過來,Cry9變體傾向於將一組不同字符串在一起連接到被要挾的文件。這包括:[.[victim ID]-juccy@protonmail.ch, .id-[victim ID], .id-[victim ID]_[nemesis_decryptor@aol.com].xj5v2, .id-[victim ID]_r9oj , .id-[victim ID]_x3m, .id-[victim ID]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m, 和.[victim ID]_[wqfhdgpdelcgww4g.onion. to].r2vy6。作為攻擊的一部分,ransomware會留下名為### DECRYPT MY FILES ###.html的贖金條到具有加密信息的桌面和文件夾。它將指示受害者購買名為“Nemesis Decryptor”的特殊軟件。被感染的用戶必須登入一個特別的Tor頁面,並按照列出的付款步驟以購買軟件。在不同的情況下,付款金額會有所不同。範圍從0.5-1.5 Bitcoin,或約$ 800- $ 1,700。

值得一提的是,CryptON ransomware是通過Remote Desktop Protocol向量將Cry128和Cry9分支機構種植到電腦中。它們強制RDP侵入憑據來執行感染。這說明了這些攻擊可能是針對性的,犯罪分子主要針對組織或特定用戶。幸運的是,一個知名的網際安全廠商最近提出了一種免費的自動解密技術。如果攻擊已經發生,而所有有價值的數據都已被加密,請務必遵循以下說明。

Cry 128 / Cry9 ransomware自動刪除和數據恢復

由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:

  • 下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件

    下載Cry 128 / Cry9 ransomware勒索軟件清除器

  • 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。

使用Emsisoft解密器解密Cry 128 / Cry9 ransomware

Emsisoft網際安全公司一直是破壞ransomware感染的佼佼者。該公司已經在免費提供解密工具來處理CryptON迭代,包括Cry128和Cry9。使用軟件之前,您必須通過上述清理步驟刪除正在執行的代碼,否則數據可能會在恢復成功後重複鎖定。另外,請務必更改您的RDP密碼以防止將來發生復發。

首先,您必須選擇一個大小為128 KB或更大的加密文件樣本,以及未加密的副本。之後,請按照以下步驟:

  • 下載適用Cry128Cry9的Emsisoft Decryptor(取決於所被感染的菌株)
  • 選擇一個樣本加密文件及其可登入的文件,然後將它們拖放到解密器界面上將文件拖放到解密GUI上
  • 該工具將試圖強制解密密鑰。請注意,該過程可能很耗時Cry9 Decryptor強制解密密鑰
  • 一旦檢索到必要的信息,該工具將顯示“Decryption key found”對話框‘Decryption key found’消息
  • 在上述通知上單擊OK後,將彈出License Terms 的窗口。單擊Yes就能繼續解密。然後,解決方案的主GUI將出現開始數據解密
  • 該工具將處理本地驅動器和連接的網絡驅動器中的信息。使用Add folder選項添加更多路徑。現在點擊Decrypt按鈕就能開始數據恢復
  • 一旦解密完成,應用程序將通過適當的顯示通知您解密成功

然而,有一些事件,受害者沒有加密文件樣本的未加密副本,或者文件太過於小。在這種情況下,Cry128 / Cry9的Emsisoft Decryptor將無法解密。此外,工具有時無法強制加密密鑰。如果遇到這樣的障礙,請嘗試以下解決方法。

恢復Cry 128 / Cry9 ransomware加密的文件的方法

解決方法1:使用文件恢復軟件

很重要的是Cry 128 / Cry9 ransomware創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除, 但在任何情況下,這種方法值得一試。

Data Recovery Pro

解決方法2:利用備份

首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。

解決方法3:使用卷影副本卷

如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建, 文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。

  • 使用之前版本功能

    勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。

  • 應用ShadowExplorer

    以上過程可以通過一款名為 ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載 並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。ShadowExplorer

驗證Cry 128 / Cry9勒索軟件是否完全被刪除

除此之外,單單只是Cry 128 / Cry9 ransomware勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起, 這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。

下載Cry 128 / Cry9 ransomware清除器