Soft2Secure

Readme 病毒 解毒: CrypMIC 勒索病毒 破解 2016

Readme 病毒 解毒: CrypMIC 勒索病毒 破解 2016

了解如何處理CrypMIC/CryptMIC的加密數據,認識其它類似的感染以及勒索軟件的工作流程。

當CrypMIC勒索活動爆發在2016年7月下旬時,它立刻引起了安全專家的註意。這種軟件也被稱為CryptMIC勒索軟件,這種計算機勒索軟件與以前的文件加密CryptXXX木馬具有高度的相似性。其分布技術、贖金的內容和設計、以及贖金的大小都具有驚人的相似之處。這兩個令人頭疼的軟件都是通過Neutrino開發工具包傳播到個人電腦上的。受害者需要支付1.2比特幣來恢復他們的個人數據,在兩種情況下,如果用戶未能在攻擊開始100小時之後支付相關費用,該費用將增長壹倍。與此同時,這些樣本之間不共享屬性,包括應用的加密算法,恢復說明的名字以及CrypMIC處理項目文件名的方法。

readme.html

更具體地說,CryptMIC利用對稱AES-256算法鎖定數據,雖然它迷惑地在警告消息中提示密碼是非對稱的RSA-4096。兩者的區別是非常大的,如果部署得當,AES和RSA幾乎是無法破解的。文件壹旦被勒索軟件鎖定,如果沒有攻擊者的主密鑰,文件就不能完全恢復。關於包含恢復指示的文檔,這些文檔被命名為Readme.html,Readme.txt和Readme.bmp。相應的圖標會添加到受感染的電腦中的桌面和所有損壞文件的文件夾中。主要的信息是:“妳所有的文件都被RSA4096加密保護,”這在壹定程度上是實際密碼系統的虛張聲勢。

Readme病毒

與CryptXXX不同,CrypMIC勒索軟件不會改變加密條目的名稱。這意味著它沒有給文件附加特定的擴展名,也沒有改變文件名。這種方法使受害者很難發現究竟是什麽影響了硬盤驅動器和網絡共享-唯壹能夠發現的是打開壹個特定的項目時,項目將返回壹個錯誤。為了讓數據返回到可訪問的狀態,被感染的用戶需要安裝Tor瀏覽器並且訪問readme.html(txt、bmp文件)中兩個.onion頁面中的壹個網頁。該網站名為“解密服務”,然後要求受害者輸入他們的個人識別碼,贖金說明也提供了此類信息。這是壹個由4塊8進制字符組成的字符串,並且使用冒號分隔。

因此登錄到服務後,受害者會看到他們還剩下多少時間,之後贖金就會從1.2比特幣上漲到2.4比特幣,其中還包括他們的操作系統和IP地址信息,以及用來接受比特幣的比特幣錢包信息。有趣的是,CrypMIC聲稱增銷被稱為“微軟解密”的產品,即所謂的修復工具。目前被加密的文件還沒有免費的解密方案,但是壹些技術可以用來恢復壹些信息。

自動刪除CrypMIC/CryptMIC病毒

由於惡意軟件簽名的最新數據庫和智能行為檢測,推薦的軟件可以快速定位感染,並且消除和糾正所有的有害變化。所以,妳需要做以下幾件事情:

  • 下載並安裝反惡意軟件工具。運行該工具,讓反惡意軟件工具掃描計算機中存在的隱患和其他類型的惡意軟件

    下載CrypMIC/CryptMIC病毒移除工具

  • 掃描報告將列出所有可能會危害妳的操作系統的項目。選擇檢測到的對象並單擊解決威脅,從而修復系統。

非贖金修復CrypMIC加密文件的方法

破解這個贖金木馬所使用的加密方法是非常復雜的,目前還沒有完美的破解方案。所以存在兩種修復系統的方法:壹種方法是支付贖金,這對於許多受害者來說是壹個災難,另壹種方法是利用勒索軟件可能的弱點,使用工具恢復文件和數據。如果妳選擇了後者,那麽妳必須試壹試下面的建議。

備份可以讓你快速恢復文件

如果妳已經備份了最重要的文件,那麽妳不僅是壹個幸運的人,更是壹個聰明的用戶。如今,這未必是壹項復雜的工作—事實上,壹些在線服務提供商免費提供了足夠大的雲存儲空間,從而讓每壹位客戶輕松地上傳自己的關鍵數據,而且不需要支付壹分錢。在妳移除了勒索軟件之後,妳僅需要從遠程服務器下載妳的重要文件和數據,或者從外部硬件將重要的文件和數據轉移到妳的計算機。

還原以前版本的加密文件

能否使用這種技術取決於勒索軟件是否抹去了文件的卷影副本。這是壹個Windows自動生成並備份在硬盤上的數據,只要妳的計算機啟用了系統還原的功能,妳就可以使用這個功能。問題是Cryptoware往往會關閉卷影復制服務(VSS),但它在某些情況下並未能夠關閉該服務。檢查這種方案的可行性有兩種方法:通過每個文件的屬性菜單,或者通過名為Shadow Explorer的開源工具。我們建議妳使用軟件的方法,因為它完全是自動化的,因此整個過程更快和更容易。妳只需要安裝應用程序,通過直觀的控制界面就可以恢復以前版本的加密文件。
ShadowExplorer

使用數據恢復工具包恢復文件和數據

壹些勒索軟件加密文件之後,會刪除原始文件。這樣的話,情況就會變得對妳有利了。如今有壹些應用程序可以恢復因為故障硬件或意外刪除的文件和數據。這款工具是ParetoLogic開發的名為數據恢復工具(Data Recovery Pro),它可以應用於恢復被勒索軟件刪除的數據,至少妳可以恢復最重要的文件。所以,妳只需要下載和安裝應用程序,運行掃描,讓它找到被刪除的文件。

Data Recovery Pro

修正你的安全狀態

事後評估惡意軟件被移除場景中的組件是壹個很好的習慣,這種習慣能夠有效地防止有害代碼和復制未被註意的部分。妳可以運行額外的安全檢查,從而確保妳的系統安全。

下載CrypMIC勒索軟件移除工具