Soft2Secure

如何解密CryptoLocker勒索軟體

如何解密CryptoLocker勒索軟體

運行勒索軟體的威脅者們似乎不斷地寫出破壞性的代碼,發佈新的病毒,以致安全行業無法完成一個完整的可操作性方案來修復他們。非常不幸的是,這些人把自己的聰明才智用到了駭客的方向,並且這種想非常容易地掙錢的願望也促使這些人變得邪惡。當今世界上最為臭名昭著的勒索軟體之一便是CryptoLocker 2015,其有著一段較長的歷史。該病毒的原始版本在2013年9月發佈,直到2014年6月才得以解決。本文分析認為現行的病毒感染實際上是由該病毒原始版本的繼承者所造成,且該病毒極有可能是由不同的網路犯罪團夥所創建。此惡意軟體的常規操作與其上一版本相似,但在某些地方仍有一些差異。

CryptoLocker的警告頁面

其中一個不同是CryptoLocker的警告頁面。它不在是紅色的,並且就這些駭客的自我意識而言其更為明目張膽。之前的版本顯示為“你的個人檔已被加密”,然而最新的版本為“警告,我們已經使用CryptoLocker病毒加密了你的檔。”對於這些詐騙者而言,這句話中的“我們”或許證明了其更為野心勃勃、有恃無恐,但我們還是把對這些罪犯形象的分析留給心理學家吧。此病毒技術上的工作流程開始於個人電腦的病毒感染,感染通常是由社會工程所造成。其中一個病毒載體便包括一個名為“工資表”的偽造郵件,郵件中會附有一個微軟的Excel檔。這個錯誤的檔也可能會偽裝成ZIP壓縮檔,並且壓縮檔中會有幾個PDF檔。一旦點擊它,這個病毒檔就會把病毒中的有效負載安裝在電腦上。

帶有傳染性附件的偽造郵件

這些病毒會通過掃描你的電腦,驅動大量檔的擴展。一旦找到個別檔,病毒將會通過AES演算法加密這些檔。然後就會出現一條警告資訊,其中會說明到底發生了什麼:
“你的重要文件(包括網盤、USB等位置中的檔):照片、視頻、檔等都因為我們的CryptoLocker病毒而被加密。想要取回你的檔的唯一辦法就是向我們付錢。否則,你的檔將會丟失。”

以上資訊中所提及的支付是通過比特幣的形式,也就是大約500美元。病毒會指定給被病毒感染的使用者一個獨一無二的比特幣位址。除非這些受到感染的用戶在三天之內付款,否則贖金還會增加。本質上,這些罪犯是想讓用戶購買擁有私人解密密匙的解密軟體,通過該軟體那些被加密的軟體就會恢復。但是,這就是赤裸裸地勒索。為了不向這些壞人們屈服,我們強烈建議你嘗試本篇教程的以下內容所提供的解決方案。我們所推薦的清除CryptoLocker的方法不是在恢復檔的情況下解決問題,而是這些方法會強制性成為整個作業系統清除病毒的一個組成部分。

通過自動清除器清除CryptoLocker病毒

這是一個對付惡意軟體尤其是勒索軟體威脅的唯一有效方法。使用一個值得信賴的安全套件能確保其細緻地檢測到全部的病毒元件,然後只需一次點擊即可清除全部病毒。然而,需要注意的是卸載受到感染的檔和恢復受到感染的檔是完全不同的兩件事,但清除病毒的需要是無可爭議的。因為在病毒的運行中還會促進其他木馬的產生。

  • 下載並安裝CryptoLocker清除軟體。該軟體已經發佈了解決方案,點擊開始掃描電腦按鈕。

    下載CryptoLocker移除器

  • 此工具將會出具掃描結果,報告所檢測到的惡意軟體。點擊修復威脅選項以清除發現的所有感染。這會完全清除所發現的所有勒索軟體。

取回被加密檔

上文提到CryptoLocker會使用強力的加密從而導致檔無法訪問,所以除了支付這一筆不可想像的贖金,現實中不存在一個具有魔力的魔法棒可以在一眨眼的時間內恢復全部的被加密資料。然而,現實中確實存在一些技術可以幫助你恢復重要的檔—接下來讓我們學習一下這些技術。

自動的檔案修復軟體

有趣的是,CryptoLocker以一種非加密的方式擦除了原始檔。被加密的檔只是原始檔的副本。所以,一些工具如Data Recovery Pro ,即使原始檔以一種安全的方式被刪除,這些工具也能恢復被刪除的檔。此種解決辦法是絕對值得一試的,因為此方法是比較有效的。

Data Recovery Pro

卷影副本

這種方法依賴於電腦上本地Windows檔案備份,此備份會在每一個復原點進行。這種方法的一個重要條件是:系統恢復功能在感染之前就已經開啟,這種方法才會有效。並且,如果一個檔在最近的復原點之後有過更改,那麼這些更改便不會在恢復的檔中顯示。

  • 利用以前的版本功能

    隨機檔的屬性對話方塊中有一個標籤頁,名為以前的版本。在此會顯示所備份的檔並且能在此處恢復這些檔。右擊檔,選擇屬性,點擊上文提到的標籤頁,基於你想要它恢復到的位置,然後點擊複製或恢復選項。

  • 使用ShadowExplorer工具

    以上步驟都可由一款名為ShadowExplorer的工具自動完成。基本上,該工具會執行同樣的步驟(包括找回卷影副本),但是方式會更為便捷。所以請下載安裝這個應用並運行,流覽你想要恢復其以前版本的檔或資料夾。之後,右擊任一條目,選擇匯出(Export)選項使得工作最終完成。ShadowExplorer

備份

由於並非所有的解決方法都與贖金相關,所以這是最佳方法。在勒索軟體攻擊你電腦之前,你應把你的檔案備份到一個外部應用伺服器。這樣會使得恢復被CryptoLocker加密的檔和進入相應的介面一樣簡單,然後選擇相應的檔並開始恢復這些檔。然而,在你這麼做之前,要確保你已經完全刪除了電腦上的勒索軟體。

檢查可能的CryptoLocker感染殘留

如果你堅持手動清理,此勒索軟體的一些碎片可能會以混淆體的形式存留在你的作業系統或註冊項中。為確保你的電腦中沒有CryptoLocker病毒惡意元件的殘留,請使用可信賴的處理惡意軟體的安全套件來掃描你的電腦。

下载CryptoLocker扫描和清除工具