Soft2Secure

如何預防和破解 勒索軟件

如何預防和破解 勒索軟件

文件加密勒索軟件無疑是迄今為止最惡劣的惡意代碼。 在發生這種攻擊的情況下,只去除感染是不夠的。 解密人質數據是受害者面臨實際挑戰。勒索軟件威脅格局是異質的。 一些具有弱密碼的樣本,秘密解密密鑰嵌入惡意可執行文件本身。其他的是專業足以阻礙復甦。

無論如何,恢復被鎖的文件是每個受到侮辱的用戶的議程。 在這種情況下,懂得備份數據是天才,但這種事件響應路線仍然是大多數終端用戶甚至組織安全狀態的薄弱環節。如果沒有可用的備份, 那麼最好的做法是什麼呢,是通用演練來恢復被贖金木馬毀壞的文件嗎?

步驟1:刪除勒索軟件

這一點是有爭議的,因為大多數的密碼勒索軟件的廣泛應用只有在受感染的電腦上持續存在,直到受害者的數據被加密為止。隨着自我終止程序到位,一些較新的複雜樣本配備了額外的DDoS,身份竊取或屏幕鎖定機制。 就這樣說,確定贖金特洛伊木馬及其附屬組件不再在電腦上總是有意義的。

其中一種方法是利用系統還原(System Restore),這是本機Windows功能允許將操作系統還原到其早期狀態。 雖然這種技術不適用於個人文件,它可以使PC電腦無瑕疵。 但是,如果在發生攻擊時未啟用“系統還原”,那麼作為故障排除矢量就沒有任何好處。 在這種情況下,請考慮使用自動反惡意軟件套件,將檢測贖金並徹底刪除它。

下载勒索軟件删除工具

步驟2:獲取文件恢復取證

使用取證工具恢復勒索軟件-癱瘓文件的有效性圍繞著平均贖金的猛擊的特殊性。 事實上,大多數這些違法的程序往往會抹去原始文件。 在整個困擾的PC中噴灑無法訪問的對像只不過是受害者重要數據的加密副本。除非感染使用多重覆蓋來將其重新分配到恢復之外,這意味著刪除的文件可能在物理上仍然位於硬盤驅動器的某個地方。 通過利用像數據恢復Pro這樣的軟件,您可以恢復一些原始數據條目。 只需安裝該工具並運行掃描以確定可恢復的內容。

Data Recovery Pro

還有一個文件恢復途徑與所謂的捲影複製服務(VSS)有關。 簡而言之,它表示一個系統模塊以一定的間隔拍攝快照並保存文件的保留副本。 您可以通過轉到其“Properties(Properties )”並選擇“先前版本(Previous Versions )”選項卡來查看任意文件的備份版本列表。 名為ShadowExplorer的應用程序完全自動化此例程,使用戶能夠選擇感興趣的文件夾或文件,並將其卷影副本還原到所需的路徑。ShadowExplorer

如果這些自己動手的技術最終無效,那麼現在是尋找特製解密工具的了。 但首先,必須找出你正在處理的勒索軟件是什麼。

步驟3:識別勒索軟件

野外有數百種不同的密碼勒索軟件家族。 為了確定安全研究人員是否為您的事件發布了正確的解密器,經驗法則是首先弄清楚哪個應變攻擊了您的電腦。 有時,贖金票據直接提及感染的名稱,就像臭名昭著的Cerber贖金公司一樣。

然而,這是例外而不是規則。 如果沒有直接指示要求贖金的名稱,加密文件的格式或鏈接到付款頁面,建議使用MalwareHunterTeam 就像勒索軟件ID 等服務。 該網站提供了兩種識別贖金木馬的方法。 一種方法是上傳.txt,.hta,.html或.bmp贖金,通常被添加到受污染電腦的桌面。 另一種方法是上傳加密文件樣本。 處理此信息後,服務將返回您的數碼對手的名稱。 此時,勒索軟件ID 檢測到281種勒索軟件。

加密警長是另一種資源可以幫助勒索軟件受害者識別他們面臨的樣本。 它在國際引人注目的地方是不再是勒索軟件計劃的一部分。 用戶有幾個選項:上傳兩個小於1 MB的加密文件; 鍵入贖金票據中指出的電子郵件地址和/或URL; 或者上傳勒索軟件手冊感染的.txt或.html。

如果加密警長的數據庫中找到匹配項,該服務將顯示一個定義勒索軟件類型的頁面。此外,它提供了一個按鈕來下載適當的免費解密工具(如果可用)。用戶還可以向當地執法機構報告犯罪案件。

與勒索軟件識別相反,攻擊屬性不是真正的數據解密鏈的組成部分。但是,它提供了思考對手是誰的餌。根據卡巴斯基實驗室提供的統計資料顯示,2016年發現的62種勒索軟件 菌株中有47種是由說俄語的騙子創造的。這意味著75%的文件加密惡意軟件樣本來自俄羅斯。去年這些執法方案感染了至少140萬人。提示是線勒索有一種語言。

記住,確定你的電腦上的勒索軟件標本是戰鬥的一半。 下一步是找出反惡意軟件實驗室或安全愛好者是否有免費的解密工具存儲。

步驟4:解密你的文件

現在你知道你的網絡對手的名字,是時候弄清楚是否有一個不提交贖金的文件恢復解決方案。 不幸的是,與這些鬆散的這些感染的一般數量相比,幾乎不存在免費解密的勒索軟件菌株。 在勒索軟件破解計劃中取得最大成功的安全公司包括Emsisoft,Kaspersky,Avast,AVG和Trend Micro。 以下可用的免費解密器列表以及對應的勒索軟件示例的簡要說明是您的故障排除的起點:

勒索軟件名稱

特徵

    文件擴展名:.777
    贖金電郵地址:seven_legion@india.com, ninja.gaiver@aol.com, kaligula.caesar@aol.com

    文件擴展名:.R5A
    贖金筆記:FILES_BACK.txt

    文件擴展名:.8lock8
    贖金筆記:READ_IT.txt

    文件擴展名:5 hexadecimal characters
    贖金筆記:Unlock_files_[victim_ID].html/txt

    文件擴展名:.access_denied, .unavailable, .rga2adi
    贖金筆記:Read_Me.txt
    贖金電郵地址:cryptservice@inbox.ru

    文件擴展名:.bin
    贖金筆記:README HOW TO DECRYPT YOUR FILES.html/txt

    文件擴展名:.encrypted, .Encryptedfile,.FuckYourData, .SecureCrypted
    贖金筆記:Contact_Here_To_Recover_Your_Files.txt, How_To_Decrypt.txt, How_to_Recover_Data.txt, or Where_my_files.txt

    文件擴展名:.encrypted, .locked
    贖金筆記:How_To_Decrypt.txt, How_to_Decrypt_Your_Files.txt, How_To_Get_Back.txt, or README.txt

    文件擴展名:.[victim_ID]_blockchain@inbox.com

    文件擴展名:[email_address]_.[random_8_characters]

    文件擴展名:.locky
    贖金筆記:info.txt/html

    贖金筆記:Help Decrypt.html

    文件擴展名:.bart.zip
    贖金筆記:recover.bmp/txt

     

    文件擴展名:.bitstak

    文件擴展名:.crypt
    贖金筆記:YOUR_FILES_ARE_ENCRYPTED.html

     

    文件擴展名:{CRYPTENDBLACKDC}

    文件擴展名:hexadecimal characters

    文件擴展名:.crypt, .R16M01D05
    贖金筆記:HELP_DECRYPT.jpg/txt

    文件擴展名:.encrypted
    贖金筆記:READ_THIS_TO_DECRYPT.html

    文件擴展名:Lock.

    贖金筆記:How decrypt files.hta
    贖金電郵地址:unCrypte@outlook.com, decipher_ne@outlook.com, or decipher_ne@india.com

    文件擴展名:.crinf
    贖金筆記:ReadDecryptFilesHere.txt

    贖金筆記:HOW_DECRYPT.txt/html/url

     

    文件擴展名:.cryptoshield, .code, .lesli, .rmd, .rdmk, .scl, .rscl
    贖金筆記:# RESTORING FILES #.txt/.html, # HELP_DECRYPT_YOUR_FILES #.txt/.html

    文件擴展名:.id-_locked, .id-_locked_by_krec, .id-_locked_by_perfect, .id-_x3m, .id-_r9oj, .id-_garryweber@protonmail.ch, .id-_steaveiwalker@india.com_, .id-_julia.crown@india.com, .id-_tom.cruz@india.com_, .id-_CarlosBoltehero@india.com_, or .id-_maria.lopez1@india.com_

    文件擴展名:.crypt, .crypz, .cryp1
    贖金筆記:!Recovery_[victim_ID].txt/html

    文件擴展名:.CrySiS, .cry, .enc, .hb15, .locked, .xtbl

    文件擴展名:original_index.php/html

    文件擴展名:.777, .legion
    贖金筆記:read_this_file.txt

    文件擴展名:.dharma, .wallet, .zzzzz
    贖金筆記:README.txt/jpg

     

    文件擴展名:.encrypted
    贖金筆記:How_To_Decrypt_Your_Files.txt

    文件擴展名:.centrumfr@india.com
    贖金筆記:CryptoLocker.txt, Help to decrypt.txt

     

    文件擴展名:.Z81928819
    贖金筆記:READ_THIS_FILE.txt

    文件擴展名:.globe, .purge, .xtbl
    贖金筆記:How to restore files.hta

    文件擴展名:.decrypt2017 or .hnumkhotep

    文件擴展名:.crypt
    贖金筆記:HOW_OPEN_FILES.hta

    文件擴展名:.crypt

    文件擴展名:.html

    文件擴展名:.hydracrypt_ID_[8-character_victim_ID]
    贖金筆記:README_DECRYPT_HYDRA_ID_[victim_ID].txt

    文件擴展名:.kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .gefickt, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, or .uk-dealer@sigaint.org

    文件擴展名:.encrypted
    贖金筆記:README_FOR_DECRYPT.txt

    贖金筆記:DECRYPT_YOUR_FILES.txt

     

    文件擴展名:.LeChiffre
    贖金筆記:_How to decrypt LeChiffre files.html

    文件擴展名:._[timestamp]_$[email_address]$.legion

    文件擴展名:.encrypted
    贖金筆記:README_FOR_DECRYPT-[random_number].txt

     

    文件擴展名:.crime

    文件擴展名:.oops
    贖金筆記:_HELP_Recover_Files.html

    文件擴展名:.merry, .mrcr1, .pegs1, .rare1, .rmcm1
    贖金筆記:MERRY_I_LOVE_YOU_BRUCE.hta, YOUR_FILES_ARE_DEAD.hta

    贖金筆記:ATTENTION.rtf

    文件擴展名:.crypted
    贖金筆記:DECRYPT.txt

    文件擴展名:._AiraCropEncrypted!, .maktub
    贖金筆記:How to decrypt your files.txt, Recupere seus arquivos. Leia-me!.txt

    文件擴展名:.odcodc
    贖金筆記:Readthis.txt

    文件擴展名:.locked, .VOZMEZD IE_ZA_DNR
    贖金筆記:HOW TO DECRYPT YOUR FILES.txt
    贖金電郵地址:santa_helper@protonmail.com, parkerm@protonmail.com

    贖金筆記:enc_files.txt

     

    文件擴展名:.locked

    文件擴展名:.id-[victim_ID]_maestro@pizzacrypts.info
    贖金筆記:Pizzacrypts Info.txt

     

    文件擴展名:.rdm, .rrk
    贖金筆記:YOUR_FILES.url

    文件擴展名:.id-[random_10_digits]_helpme@freespeechmail.org

    文件擴展名:.locked-[original_filename].[random_4_chars]

    文件擴展名:!____cocoslim98@gmail.com____.tar, !____glok9200@gmail.com____.tar, !__recoverynow@india.com__.v8

    文件擴展名:.7h9r, .better_call_saul, .breaking_bad, .da_vinci_code, .heisenberg, .no_more_ransom, .windows10, .xtbl, .ytbl
    贖金筆記:README.txt

    文件擴展名:.RSNSlocked

    文件擴展名:.locked
    贖金電郵地址:clesline@212@openmailbox.org, getfiles@tutanota.com, paytodecrypt@sigaint.org, ransom64@sigaint.org, success!@qip.ru

    文件擴展名:.szf

    文件擴展名:.Xcri
    贖金筆記:Informer

    贖金筆記:HELP_TO_DECRYPT_YOUR_FILES.bmp/html/txt, Howto_Restore_FILES.bmp/html/txt, _how_recover_.bmp/html/txt

    文件擴展名:.umbrecrypt_ID_[8-character_victim_ID]
    贖金筆記:README_DECRYPT_UMBRE_ID_[victim_ID].txt

    文件擴展名:.wflx
    贖金筆記:HOW_TO_UNLOCK_FILES_README_[victim_ID].txt

    文件擴展名:.crypted
    贖金筆記:Readme.txt

    文件擴展名:.6FKR8d, .73i87A, .@EnCrYpTeD2016@, .antihacker2017, .ava, .EnCiPhErEd, .encoderpass, .error, .errorfiles, .fileiscryptedhard, .p5tkjw, .pa2384259, .PoAr2w, .xorist
    贖金筆記:HOW TO DECRYPT FILES.txt

大多數這些解密工具易於使用。 例如,Emsisoft的那些需要勒索軟件的受害者將任意加密的文件及其原始版本拖放到解密器的視窗上。 然而,使用一些需要更高級的技術技能實用程序,例如使用命令提示符等。 此外,勒索軟件作者往往會稍微調整一次代碼以便打敗以前發布的解密器。 無論如何,上面的清單應該大派用場。

另外一個建議是在搜索引擎上查找勒索軟件的名稱,瀏覽Bleeping Computer等專用論壇,並使用上述的“勒索軟件ID”和“沒有更多的贖金(No More Ransom)”服務。 最好的預防提示如下:備份維護常規數據,不要打開可疑的電子郵件附件,並使用配備反篡改軟件模塊的可靠安全軟件。