刪除Cry128 / Cry9 ransomware勒索病毒並解密鎖定文件
外部似乎不同的Ransom Trojans通常可能歸因於相同的加密威脅。 Cry128和Cry9菌株就是這種情況。每個菌株都有被受妥協的獨特指標,共同點就是CryptON,或是Nemesis,它們都來自ransomware家族的。
什麼是Cry128 / Cry9 ransomware?
Cry128和Cry9文件加密威脅來自共同的根源。就像它們惡意的兄弟Nemesis和X3M一樣,它們是由相同的構建器創建出來的,這構建器是一個特製的工具,可以幫助和自動化生成ransomware可執行文件的工作流程。該系列的通用名稱是CryptON。它於2016年下半年開始活躍,並產生了一些衍生品。這個組織的最新樣本是通過一個強大的加密程序來拿取個人數據,然後進行卑鄙的勒索機制。為了鎖定文件,它們利用以電子代碼本(ECB)模式運行的AES(高級加密標準)的定製版本。這個例程的副產品最初看似不可能檢索超出基於的付款方法,是生成1024-bit加密和解密密鑰 。
有趣的是,CryptON的Cry128 / Cry9變體是不具備預定義的目標數據格式列表。換句話說,ransomware配置是為了在電腦裡將所有被發現的文件進行編碼。它在HDD和網絡驅動器遍歷過程中唯一跳過的路徑包括Program Files,Windows以及從其啟動的文件夾。這些排除的動機是顯而易見的 – 在衝擊期間,欺騙者需要機器順利進行。應用上述加密機制拒絕進入受害者的個人文件,Cry128 ransomware版本將會在文件附加以下擴展之一:.id_[victim ID]_gebdp3k7bolalnd4.onion._, .id_[victim ID]_2irbar3mjvbap6gt.onion.to._, .id-[victim ID]_[qg6m5wo7h3id55ym.onion.to].63vc4, 或 .fgb45ft3pqamyji7.onion.to._。
反過來,Cry9變體傾向於將一組不同字符串在一起連接到被要挾的文件。這包括:[.[victim ID]-juccy@protonmail.ch, .id-[victim ID], .id-[victim ID]_[nemesis_decryptor@aol.com].xj5v2, .id-[victim ID]_r9oj , .id-[victim ID]_x3m, .id-[victim ID]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m, 和.[victim ID]_[wqfhdgpdelcgww4g.onion. to].r2vy6。作為攻擊的一部分,ransomware會留下名為### DECRYPT MY FILES ###.html的贖金條到具有加密信息的桌面和文件夾。它將指示受害者購買名為“Nemesis Decryptor”的特殊軟件。被感染的用戶必須登入一個特別的Tor頁面,並按照列出的付款步驟以購買軟件。在不同的情況下,付款金額會有所不同。範圍從0.5-1.5 Bitcoin,或約$ 800- $ 1,700。
值得一提的是,CryptON ransomware是通過Remote Desktop Protocol向量將Cry128和Cry9分支機構種植到電腦中。它們強制RDP侵入憑據來執行感染。這說明了這些攻擊可能是針對性的,犯罪分子主要針對組織或特定用戶。幸運的是,一個知名的網際安全廠商最近提出了一種免費的自動解密技術。如果攻擊已經發生,而所有有價值的數據都已被加密,請務必遵循以下說明。
Cry 128 / Cry9勒索軟體自動刪除和數據恢復
由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:
-
下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件
- 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。
使用Emsisoft解密器解密Cry 128 / Cry9 ransomware
Emsisoft網際安全公司一直是破壞ransomware感染的佼佼者。該公司已經在免費提供解密工具來處理CryptON迭代,包括Cry128和Cry9。使用軟件之前,您必須通過上述清理步驟刪除正在執行的代碼,否則數據可能會在恢復成功後重複鎖定。另外,請務必更改您的RDP密碼以防止將來發生復發。
首先,您必須選擇一個大小為128 KB或更大的加密文件樣本,以及未加密的副本。之後,請按照以下步驟:
-
下載適用Cry128或Cry9的Emsisoft
Decryptor(取決於所被感染的菌株) -
選擇一個樣本加密文件及其可登入的文件,然後將它們拖放到解密器界面上
-
該工具將試圖強制解密密鑰。請注意,該過程可能很耗時
-
一旦檢索到必要的信息,該工具將顯示“Decryption key found”對話框
-
在上述通知上單擊OK後,將彈出License Terms 的窗口。單擊Yes就能繼續解密。然後,解決方案的主GUI將出現
- 該工具將處理本地驅動器和連接的網絡驅動器中的信息。使用Add folder選項添加更多路徑。現在點擊Decrypt按鈕就能開始數據恢復
-
一旦解密完成,應用程序將通過適當的顯示通知您
然而,有一些事件,受害者沒有加密文件樣本的未加密副本,或者文件太過於小。在這種情況下,Cry128 / Cry9的Emsisoft Decryptor將無法解密。此外,工具有時無法強制加密密鑰。如果遇到這樣的障礙,請嘗試以下解決方法。
恢復加密的Cry 128 / Cry9檔案的方法
解決方法1:使用文件恢復軟件
很重要的是Cry 128 / Cry9勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。
下载Stellar Data Recovery Professional
解決方法2:利用備份
首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。
解決方法3:使用卷影副本卷
如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。
-
使用之前版本功能勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。
-
應用ShadowExplorer以上過程可以通過一款名為
ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載
並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。
驗證Cry 128 / Cry9勒索軟件是否完全被刪除
除此之外,單單只是Cry 128 / Cry9勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。