文件加密勒索軟件無疑是迄今為止最惡劣的惡意代碼。 在發生這種攻擊的情況下,只去除感染是不夠的。 解密人質數據是受害者面臨實際挑戰。勒索軟件威脅格局是異質的。 一些具有弱密碼的樣本,秘密解密密鑰嵌入惡意可執行文件本身。其他的是專業足以阻礙復甦。
無論如何,恢復被鎖的文件是每個受到侮辱的用戶的議程。 在這種情況下,懂得備份數據是天才,但這種事件響應路線仍然是大多數終端用戶甚至組織安全狀態的薄弱環節。如果沒有可用的備份, 那麼最好的做法是什麼呢,是通用演練來恢復被贖金木馬毀壞的文件嗎?
這一點是有爭議的,因為大多數的密碼勒索軟件的廣泛應用只有在受感染的電腦上持續存在,直到受害者的數據被加密為止。隨着自我終止程序到位,一些較新的複雜樣本配備了額外的DDoS,身份竊取或屏幕鎖定機制。
就這樣說,確定贖金特洛伊木馬及其附屬組件不再在電腦上總是有意義的。 其中一種方法是利用系統還原(System Restore),這是本機Windows功能允許將操作系統還原到其早期狀態。 雖然這種技術不適用於個人文件,它可以使PC電腦無瑕疵。
但是,如果在發生攻擊時未啟用“系統還原”,那麼作為故障排除矢量就沒有任何好處。 在這種情況下,請考慮使用自動反惡意軟件套件,將檢測贖金並徹底刪除它。
還有一個文件恢復途徑與所謂的捲影複製服務(VSS)有關。 簡而言之,它表示一個系統模塊以一定的間隔拍攝快照並保存文件的保留副本。 您可以通過轉到其“Properties(Properties )”並選擇“先前版本(Previous Versions )”選項卡來查看任意文件的備份版本列表。
名為
ShadowExplorer的應用程序完全自動化此例程,使用戶能夠選擇感興趣的文件夾或文件,並將其卷影副本還原到所需的路徑。
野外有數百種不同的密碼勒索軟件家族。 為了確定安全研究人員是否為您的事件發布了正確的解密器,經驗法則是首先弄清楚哪個應變攻擊了您的電腦。 有時,贖金票據直接提及感染的名稱,就像臭名昭著的Cerber贖金公司一樣。
如果加密警長的數據庫中找到匹配項,該服務將顯示一個定義勒索軟件類型的頁面。此外,它提供了一個按鈕來下載適當的免費解密工具(如果可用)。用戶還可以向當地執法機構報告犯罪案件。
現在你知道你的網絡對手的名字,是時候弄清楚是否有一個不提交贖金的文件恢復解決方案。 不幸的是,與這些鬆散的這些感染的一般數量相比,幾乎不存在免費解密的勒索軟件菌株。
在勒索軟件破解計劃中取得最大成功的安全公司包括Emsisoft,Kaspersky,Avast,AVG和Trend Micro。 以下可用的免費解密器列表以及對應的勒索軟件示例的簡要說明是您的故障排除的起點:
文件擴展名:.777 贖金電郵地址:seven_legion@india.com, ninja.gaiver@aol.com, kaligula.caesar@aol.com
文件擴展名:.R5A 贖金筆記:FILES_BACK.txt
文件擴展名:.8lock8 贖金筆記:READ_IT.txt
文件擴展名:5 hexadecimal characters 贖金筆記:Unlock_files_[victim_ID].html/txt
文件擴展名:.access_denied, .unavailable, .rga2adi 贖金筆記:Read_Me.txt 贖金電郵地址:cryptservice@inbox.ru
文件擴展名:.bin 贖金筆記:README HOW TO DECRYPT YOUR FILES.html/txt
文件擴展名:.encrypted, .Encryptedfile,.FuckYourData, .SecureCrypted 贖金筆記:Contact_Here_To_Recover_Your_Files.txt, How_To_Decrypt.txt, How_to_Recover_Data.txt, or Where_my_files.txt
文件擴展名:.encrypted, .locked 贖金筆記:How_To_Decrypt.txt, How_to_Decrypt_Your_Files.txt, How_To_Get_Back.txt, or README.txt
文件擴展名:.[victim_ID]_blockchain@inbox.com
文件擴展名:[email_address]_.[random_8_characters]
文件擴展名:.locky 贖金筆記:info.txt/html
贖金筆記:Help Decrypt.html
文件擴展名:.bart.zip 贖金筆記:recover.bmp/txt
文件擴展名:.bitstak
文件擴展名:.crypt 贖金筆記:YOUR_FILES_ARE_ENCRYPTED.html
文件擴展名:{CRYPTENDBLACKDC}
文件擴展名:hexadecimal characters
文件擴展名:.crypt, .R16M01D05 贖金筆記:HELP_DECRYPT.jpg/txt
文件擴展名:.encrypted 贖金筆記:READ_THIS_TO_DECRYPT.html
文件擴展名:Lock.
贖金筆記:How decrypt files.hta 贖金電郵地址:unCrypte@outlook.com, decipher_ne@outlook.com, or decipher_ne@india.com
文件擴展名:.crinf 贖金筆記:ReadDecryptFilesHere.txt
贖金筆記:HOW_DECRYPT.txt/html/url
文件擴展名:.cryptoshield, .code, .lesli, .rmd, .rdmk, .scl, .rscl 贖金筆記:# RESTORING FILES #.txt/.html, # HELP_DECRYPT_YOUR_FILES #.txt/.html
文件擴展名:.id-_locked, .id-_locked_by_krec, .id-_locked_by_perfect, .id-_x3m, .id-_r9oj, .id-_garryweber@protonmail.ch, .id-_steaveiwalker@india.com_, .id-_julia.crown@india.com, .id-_tom.cruz@india.com_,
.id-_CarlosBoltehero@india.com_, or .id-_maria.lopez1@india.com_
文件擴展名:.crypt, .crypz, .cryp1 贖金筆記:!Recovery_[victim_ID].txt/html
文件擴展名:.CrySiS, .cry, .enc, .hb15, .locked, .xtbl
文件擴展名:original_index.php/html
文件擴展名:.777, .legion 贖金筆記:read_this_file.txt
文件擴展名:.dharma, .wallet, .zzzzz 贖金筆記:README.txt/jpg
文件擴展名:.encrypted 贖金筆記:How_To_Decrypt_Your_Files.txt
文件擴展名:.centrumfr@india.com 贖金筆記:CryptoLocker.txt, Help to decrypt.txt
文件擴展名:.Z81928819 贖金筆記:READ_THIS_FILE.txt
文件擴展名:.globe, .purge, .xtbl 贖金筆記:How to restore files.hta
文件擴展名:.decrypt2017 or .hnumkhotep
文件擴展名:.crypt 贖金筆記:HOW_OPEN_FILES.hta
文件擴展名:.crypt
文件擴展名:.html
文件擴展名:.hydracrypt_ID_[8-character_victim_ID] 贖金筆記:README_DECRYPT_HYDRA_ID_[victim_ID].txt
文件擴展名:.kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .gefickt, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, or
.uk-dealer@sigaint.org
文件擴展名:.encrypted 贖金筆記:README_FOR_DECRYPT.txt
贖金筆記:DECRYPT_YOUR_FILES.txt
文件擴展名:.LeChiffre 贖金筆記:_How to decrypt LeChiffre files.html
文件擴展名:._[timestamp]_$[email_address]$.legion
文件擴展名:.encrypted 贖金筆記:README_FOR_DECRYPT-[random_number].txt
文件擴展名:.crime
文件擴展名:.oops 贖金筆記:_HELP_Recover_Files.html
文件擴展名:.merry, .mrcr1, .pegs1, .rare1, .rmcm1 贖金筆記:MERRY_I_LOVE_YOU_BRUCE.hta, YOUR_FILES_ARE_DEAD.hta
贖金筆記:ATTENTION.rtf
文件擴展名:.crypted 贖金筆記:DECRYPT.txt
文件擴展名:._AiraCropEncrypted!, .maktub 贖金筆記:How to decrypt your files.txt, Recupere seus arquivos. Leia-me!.txt
文件擴展名:.odcodc 贖金筆記:Readthis.txt
文件擴展名:.locked, .VOZMEZD IE_ZA_DNR 贖金筆記:HOW TO DECRYPT YOUR FILES.txt 贖金電郵地址:santa_helper@protonmail.com, parkerm@protonmail.com
贖金筆記:enc_files.txt
文件擴展名:.locked
文件擴展名:.id-[victim_ID]_maestro@pizzacrypts.info 贖金筆記:Pizzacrypts Info.txt
文件擴展名:.rdm, .rrk 贖金筆記:YOUR_FILES.url
文件擴展名:.id-[random_10_digits]_helpme@freespeechmail.org
文件擴展名:.locked-[original_filename].[random_4_chars]
文件擴展名:!____cocoslim98@gmail.com____.tar, !____glok9200@gmail.com____.tar, !__recoverynow@india.com__.v8
文件擴展名:.7h9r, .better_call_saul, .breaking_bad, .da_vinci_code, .heisenberg, .no_more_ransom, .windows10, .xtbl, .ytbl 贖金筆記:README.txt
文件擴展名:.RSNSlocked
文件擴展名:.locked 贖金電郵地址:clesline@212@openmailbox.org, getfiles@tutanota.com, paytodecrypt@sigaint.org, ransom64@sigaint.org, success!@qip.ru
文件擴展名:.szf
文件擴展名:.Xcri 贖金筆記:Informer
贖金筆記:HELP_TO_DECRYPT_YOUR_FILES.bmp/html/txt, Howto_Restore_FILES.bmp/html/txt, _how_recover_.bmp/html/txt
文件擴展名:.umbrecrypt_ID_[8-character_victim_ID] 贖金筆記:README_DECRYPT_UMBRE_ID_[victim_ID].txt
文件擴展名:.wflx 贖金筆記:HOW_TO_UNLOCK_FILES_README_[victim_ID].txt
文件擴展名:.crypted 贖金筆記:Readme.txt
文件擴展名:.6FKR8d, .73i87A, .@EnCrYpTeD2016@, .antihacker2017, .ava, .EnCiPhErEd, .encoderpass, .error, .errorfiles, .fileiscryptedhard, .p5tkjw, .pa2384259, .PoAr2w, .xorist 贖金筆記:HOW TO DECRYPT FILES.txt
大多數這些解密工具易於使用。 例如,Emsisoft的那些需要勒索軟件的受害者將任意加密的文件及其原始版本拖放到解密器的視窗上。 然而,使用一些需要更高級的技術技能實用程序,例如使用命令提示符等。
此外,勒索軟件作者往往會稍微調整一次代碼以便打敗以前發布的解密器。 無論如何,上面的清單應該大派用場。 另外一個建議是在搜索引擎上查找勒索軟件的名稱,瀏覽Bleeping Computer等專用論壇,並使用上述的“勒索軟件ID”和“沒有更多的贖金(No More
Ransom)”服務。 最好的預防提示如下:備份維護常規數據,不要打開可疑的電子郵件附件,並使用配備反篡改軟件模塊的可靠安全軟件。
