Soft2Secure

所有文件都用RSA-2048和AES-128加密: 解密勒索軟件病毒

所有文件都用RSA-2048和AES-128加密: 解密勒索軟件病毒

在每個數據加密勒索軟件示例中展示的屬性的一系列屬性中,警告消息的結構和文本就像指紋一樣。這些感染中的一些嘗試通過明顯的錯誤信息和誇張來恐嚇人們,例如,說明他們的文件被鎖定在比實際更強的密碼系統。在Locky ransom木馬及其版本稱為Zepto的情況下,雖然,警告準確地表達東西的真實狀態。

當Windows用戶將他或她的桌面背景替換為 “所有文件都使用RSA-2048和AES-128密碼加密”的警報時,很不幸這個說法是對的。毫無疑問, 這些不利的情況表明的事情是指勒索軟件被稱為洛克的攻擊,或其新發布的版本被稱為Zepto。這種違反的後果如下:所有個人文件被編碼,相應的文件名也被擾亂。 每個受影響的實體也將有一個附錄,.locky.osiris,這是這個勒索活動的唯一。而最終,受害者無法訪問其有價值的數據,也不能安裝任何能夠處理此任務的第三方軟件。

這種特殊的惡意軟件工具的滲透電腦方式是有趣的; 至少它利用了不普遍的社會工程方法。 在騙局的第一階段,潛在的受害者通過電子郵件收到垃圾郵件,這看起來是個性化的,因為它通常通過名字來解決他們,因此從一開始就喚起信任。 附加到此電子郵件的文件很可能是Docm格式的Microsoft Word文檔。 打開時,此文件提示用戶激活宏,如果發生這種情況惡意可執行文件將加載到系統上並立即以高權限啟動。 勒索軟件然後遍歷硬盤驅動器和網絡共享搜索數據,並且關注具有對應於流行格式的特定擴展名的文件。

_Locky_recover_instructions.bmp

當檢測到隨機的個人文件時,發生的是,有問題的代碼使用128位AES密鑰對其進行加密。 由於這個密碼系統可以通過一些取證工作來破解,Zepto和Locky背後的犯罪分子進一步加強了鎖定效果,通過使用RSA加密加密AES密鑰。這是不對稱的,不可能避開。因為私人RSA密鑰存儲在其他地方因此受污染的電腦不以任何方式與其交互。 如上所述,文件名變成附加有新擴展名的十六進製字符串。

一旦加密完成,ransom Trojan建議用戶打開恢復說明,可能標題為“_HELP_instructions.html(.txt,.bmp)”或“_Locky_recover_instructions.html(.txt,.bmp)”。 除了“所有文件都使用RSA-2048和AES-128密碼加密”的部分,這些贖金筆記還建議受害者導航到名為“Locky Decryptor Page”的Tor域。 此頁含有關贖金的大小(通常為0.5 BTC,或約300 USD),要發送的比特幣地址以及自動解密器下載鏈接的字段的信息,該鏈接據稱在付款後可用。

這裡有一些關於這種應變的重要事實:首先它不能免費解密 – 研究人員仍在努力工作中; 其次不推薦將贖金發送給壞人 – 它將保持他們的業務進行並不確定解密將在以後承諾後發生。 儘管繞過木馬的crypto是不可行的但有幾種替代技術可以幫助恢復操作系統在攻擊之前備份的文件版本。

自動清除Locky和Zepto病毒

可以使用可靠的安全軟件有效地終止這種勒索軟件。 堅持自動清理技術確保感染的所有組件徹底從您的系統中擦除。

  • 下載推薦的安全實用程序並通過選擇啟動電腦掃描選項來檢查PC是否存在惡意對象

    下載Locky和Zepto勒索軟件刪除

  • 掃描將顯示檢測到項目的列表。 單擊修復威脅以從系統中刪除病毒和相關的感染。 完成清理過程的這一階段最有可能導致徹底刪除感染。 現在你將面臨一個更大的挑戰 – 嘗試和獲取您的數據回來。

恢復由此勒索軟件加密的文件的方法

解決方法1:使用文件恢復軟件

重要的是要知道,Locky病毒及其分裂創建您的文件的副本並加密它們。 同時,原始文件被刪除。 有在那裡的應用程序可以恢復刪除的數據。 您可以使用像下載數據恢復Pro這樣的工具。 考慮的最新版本的勒索軟件往往會應用幾個覆寫安全刪除,但在任何情況下,這種方法是值得一試。

Data Recovery Pro

解決方法2:使用備份

首先,這是一個偉大的方式來恢復您的文件。但是它只適用於您已經備份存儲在您的電腦上的信息。 如果是這樣你應該利用你的遠見。

解決方法3:使用卷影副本

如果您不知道,只要在電腦上激活系統還原,操作系統就會創建所有文件的所謂影子卷副本。 由於這個方法還會以指定的時間間隔創建還原點,因此會生成此時顯示的文件快照。 建議此方法不能確保恢復最新版本的文件。 這當然值得一試。 此工作流程可通過兩種方式實現:手動和通過使用自動解決方案執行。 讓我們先來看看手動過程。

  • 使用之前版本功能

    勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。

  • 應用ShadowExplorer

    以上過程可以通過一款名為 ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載 並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。ShadowExplorer

驗證病毒是否已完全刪除

再次,Locky或Zepto勒索軟件不會單獨刪除您的個人文件的解密。 上面突出顯示的數據恢復方法可能會或可能不會幫到你,但勒索軟件本身不屬於您的電腦。 順便說一下,它經常伴隨其他惡意軟件,這就是為什麼它使用自動安全軟件反复掃描系統以確保沒有有害的遺留的這種病毒和相關的威脅留在Windows註冊表和其他位置。

下載所有文件都使用RSA-2048和AES-128密碼加密病毒掃描程序和刪除器