Soft2Secure

刪除Cry128 / Cry9 ransomware勒索病毒並解密鎖定文件

外部似乎不同的Ransom Trojans通常可能歸因於相同的加密威脅。 Cry128和Cry9菌株就是這種情況。每個菌株都有被受妥協的獨特指標,共同點就是CryptON,或是Nemesis,它們都來自ransomware家族的。

什麼是Cry128 / Cry9 ransomware?

Cry128和Cry9文件加密威脅來自共同的根源。就像它們惡意的兄弟Nemesis和X3M一樣,它們是由相同的構建器創建出來的,這構建器是一個特製的工具,可以幫助和自動化生成ransomware可執行文件的工作流程。該系列的通用名稱是CryptON。它於2016年下半年開始活躍,並產生了一些衍生品。這個組織的最新樣本是通過一個強大的加密程序來拿取個人數據,然後進行卑鄙的勒索機制。為了鎖定文件,它們利用以電子代碼本(ECB)模式運行的AES(高級加密標準)的定製版本。這個例程的副產品最初看似不可能檢索超出基於的付款方法,是生成1024-bit加密和解密密鑰 。

有趣的是,CryptON的Cry128 / Cry9變體是不具備預定義的目標數據格式列表。換句話說,ransomware配置是為了在電腦裡將所有被發現的文件進行編碼。它在HDD和網絡驅動器遍歷過程中唯一跳過的路徑包括Program Files,Windows以及從其啟動的文件夾。這些排除的動機是顯而易見的 – 在衝擊期間,欺騙者需要機器順利進行。應用上述加密機制拒絕進入受害者的個人文件,Cry128 ransomware版本將會在文件附加以下擴展之一:.id_[victim ID]_gebdp3k7bolalnd4.onion._, .id_[victim ID]_2irbar3mjvbap6gt.onion.to._, .id-[victim ID]_[qg6m5wo7h3id55ym.onion.to].63vc4, 或 .fgb45ft3pqamyji7.onion.to._。

反過來,Cry9變體傾向於將一組不同字符串在一起連接到被要挾的文件。這包括:[.[victim ID]-juccy@protonmail.ch, .id-[victim ID], .id-[victim ID]_[nemesis_decryptor@aol.com].xj5v2, .id-[victim ID]_r9oj , .id-[victim ID]_x3m, .id-[victim ID]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m, 和.[victim ID]_[wqfhdgpdelcgww4g.onion. to].r2vy6。作為攻擊的一部分,ransomware會留下名為### DECRYPT MY FILES ###.html的贖金條到具有加密信息的桌面和文件夾。它將指示受害者購買名為“Nemesis Decryptor”的特殊軟件。被感染的用戶必須登入一個特別的Tor頁面,並按照列出的付款步驟以購買軟件。在不同的情況下,付款金額會有所不同。範圍從0.5-1.5 Bitcoin,或約$ 800- $ 1,700。

值得一提的是,CryptON ransomware是通過Remote Desktop Protocol向量將Cry128和Cry9分支機構種植到電腦中。它們強制RDP侵入憑據來執行感染。這說明了這些攻擊可能是針對性的,犯罪分子主要針對組織或特定用戶。幸運的是,一個知名的網際安全廠商最近提出了一種免費的自動解密技術。如果攻擊已經發生,而所有有價值的數據都已被加密,請務必遵循以下說明。

Cry 128 / Cry9勒索軟體自動刪除和數據恢復

由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:

使用Emsisoft解密器解密Cry 128 / Cry9 ransomware

Emsisoft網際安全公司一直是破壞ransomware感染的佼佼者。該公司已經在免費提供解密工具來處理CryptON迭代,包括Cry128和Cry9。使用軟件之前,您必須通過上述清理步驟刪除正在執行的代碼,否則數據可能會在恢復成功後重複鎖定。另外,請務必更改您的RDP密碼以防止將來發生復發。
首先,您必須選擇一個大小為128 KB或更大的加密文件樣本,以及未加密的副本。之後,請按照以下步驟:

然而,有一些事件,受害者沒有加密文件樣本的未加密副本,或者文件太過於小。在這種情況下,Cry128 / Cry9的Emsisoft Decryptor將無法解密。此外,工具有時無法強制加密密鑰。如果遇到這樣的障礙,請嘗試以下解決方法。

恢復加密的Cry 128 / Cry9檔案的方法

解決方法1:使用文件恢復軟件

很重要的是Cry 128 / Cry9勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。

下载Stellar Data Recovery Professional



解決方法2:利用備份

首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。

解決方法3:使用卷影副本卷

如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。

驗證Cry 128 / Cry9勒索軟件是否完全被刪除

除此之外,單單只是Cry 128 / Cry9勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。

下載Cry 128 / Cry9勒索軟件清除器

退出移动版