Soft2Secure

解密並刪除ColdLock (ransom.msil.coldlock.ypae-a)勒索軟體病毒

突发网络安全新闻是发布了一种新的勒索软件,用于针对组织的攻击。 它被称为ColdLock,这是由研究人员创造出来的术语,他们发掘了这种菌株并检查了其作案手法。 迄今为止,这种感染已经袭击了东亚地区的许多网络。 继续阅读以了解其运行方式,导致的症状以及如何解决该问题。

什麼是ColdLock勒索軟體?

ColdLock是勒索软件威胁,于2020年5月上旬在响应事件的过程中被发现,涉及台湾的多家公司。恶意程序也被标识为ransom.msil.coldlock.ypae-a或ransom.ps1.coldlock.ypae-a,它以高度隐蔽的方式污染了企业网络,对大量有价值的文件进行了加密,并使用.locked对其进行了修饰。延期。在这些最初的突袭中,一种特别不利的影响显现出来:攻击者主要关注数据库和电子邮件服务器,可以说是任何企业实体中最敏感和最重要的资产。在这一点上,现在断言这是否是ColdLock勒索软件的牢固行为模式还为时过早,但是如果是这样,对于任何可能的受害者来说,这绝对是个坏消息。根据分析家的初步调查结果,这种感染与EDA2之间存在大量代码重叠,EDA2是一种勒索软件,最初是为了“教育”目的而创建的,但后来被用于实际攻击中。骗子如何准确地重新利用了可能的原型仍有待观察。

ColdLock创建‘How To Unlock Files.txt’个赎金票据

如上所述,ColdLock勒索软件是针对特定目标国家/地区的攻击的枢纽。在网络中而不是个人中进行归位的做法是电子勒索环境中长期运行的炒作。显然,网络犯罪圈中有一个新的参与者,它将组织置于其他类型的潜在受害者之上。在过去的几个月中,另一个令人不安的趋势是在加密数据之前先窃取数据,然后威胁要释放它以供公众访问,除非支付了赎金。在撰写本文时,如果该特定的特洛伊木马参与此类犯规行为,则没有确切答案。即使不是,它的武器库中还有许多其他欺骗手段。

它的发行商将目标的Active Directory服务器用作启动板,以便在整个域中横向移动,这将污染同一企业范围内的所有计算机。这个古怪的问题提出了另一个问题:重罪犯首先如何访问Active Directory?可能的切入点是RDP hack或漏洞利用工具包,它使用已知的软件漏洞在后台注入恶意代码。 ColdLock病毒的另一个特点是它不会在晚上12:10之前执行。此时间限制可以与恶意因素关注的特定公司保持一致。无论受害者如何,这可能都是一条有效的普遍规则。同样,这是一个暂时没有明确答案的问题。

一旦威胁可以在网络上感染的计算机数量达到最大,它就会寻找要加密的文件。它带有一个系统关键文件的硬编码黑名单,这些黑名单在扫描过程中会被跳过。然后,恶意加密过程在后台开始。使用AES密码算法对符合预定义条件的组织所有数据进行加密。该例程的副产品是添加到原始文件名的.locked扩展名。 ransom.msil.coldlock.ypae-a病毒还会删除名为“如何解锁Files.txt”的恢复说明,并用指示受害者读取此TXT文件的图像替换桌面墙纸。它指定了五天的付款期限,否则据称会删除专用解密密钥。该手册还提供了攻击者的电子邮件地址和受害者的个人ID,这些信息应通过邮件发送给勒索者。他们将以赎金的大小和目的地比特币地址进行答复。

但是,无论人质数据多么重要,都不建议使用赎金方法。处理该攻击的一个很好的起点是,如果有害程序没有触发自毁机制,则将其删除。接下来,尝试一种有效的文件恢复解决方案,该解决方案可能能够检索某些无法访问的数据,而无需与犯罪分子进行协商。以下是这些技术的摘要。

ColdLock勒索軟體自動刪除和數據恢復

由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:

  • 下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件

    下載ColdLock勒索軟件清除器

  • 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。

恢復加密的ColdLock檔案的方法

解決方法1:使用文件恢復軟件

很重要的是ColdLock勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。

下载Stellar Data Recovery Professional


下載數據恢復高級版

解決方法2:利用備份

首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。

解決方法3:使用卷影副本卷

如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。

  • 使用之前版本功能勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。
    解決方法3:使用卷影副本卷
  • 應用ShadowExplorer以上過程可以通過一款名為
    ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載
    並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。
    ShadowExplorer

驗證ColdLock勒索軟件是否完全被刪除

除此之外,單單只是ColdLock勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。

下載ColdLock勒索軟件清除器