所有文件都用RSA-2048和AES-128加密: 解密勒索軟件病毒
在每個數據加密勒索軟件示例中展示的屬性的一系列屬性中,警告消息的結構和文本就像指紋一樣。這些感染中的一些嘗試通過明顯的錯誤信息和誇張來恐嚇人們,例如,說明他們的文件被鎖定在比實際更強的密碼系統。在Locky ransom木馬及其版本稱為Zepto的情況下,雖然,警告準確地表達東西的真實狀態。
當Windows用戶將他或她的桌面背景替換為 “所有文件都使用RSA-2048和AES-128密碼加密”的警報時,很不幸這個說法是對的。毫無疑問, 這些不利的情況表明的事情是指勒索軟件被稱為洛克的攻擊,或其新發布的版本被稱為Zepto。這種違反的後果如下:所有個人文件被編碼,相應的文件名也被擾亂。 每個受影響的實體也將有一個附錄,.locky或.osiris,這是這個勒索活動的唯一。而最終,受害者無法訪問其有價值的數據,也不能安裝任何能夠處理此任務的第三方軟件。
這種特殊的惡意軟件工具的滲透電腦方式是有趣的; 至少它利用了不普遍的社會工程方法。 在騙局的第一階段,潛在的受害者通過電子郵件收到垃圾郵件,這看起來是個性化的,因為它通常通過名字來解決他們,因此從一開始就喚起信任。 附加到此電子郵件的文件很可能是Docm格式的Microsoft Word文檔。 打開時,此文件提示用戶激活宏,如果發生這種情況惡意可執行文件將加載到系統上並立即以高權限啟動。 勒索軟件然後遍歷硬盤驅動器和網絡共享搜索數據,並且關注具有對應於流行格式的特定擴展名的文件。
當檢測到隨機的個人文件時,發生的是,有問題的代碼使用128位AES密鑰對其進行加密。 由於這個密碼系統可以通過一些取證工作來破解,Zepto和Locky背後的犯罪分子進一步加強了鎖定效果,通過使用RSA加密加密AES密鑰。這是不對稱的,不可能避開。因為私人RSA密鑰存儲在其他地方因此受污染的電腦不以任何方式與其交互。 如上所述,文件名變成附加有新擴展名的十六進製字符串。
一旦加密完成,ransom Trojan建議用戶打開恢復說明,可能標題為“_HELP_instructions.html(.txt,.bmp)”或“_Locky_recover_instructions.html(.txt,.bmp)”。 除了“所有文件都使用RSA-2048和AES-128密碼加密”的部分,這些贖金筆記還建議受害者導航到名為“Locky Decryptor Page”的Tor域。 此頁含有關贖金的大小(通常為0.5 BTC,或約300 USD),要發送的比特幣地址以及自動解密器下載鏈接的字段的信息,該鏈接據稱在付款後可用。
這裡有一些關於這種應變的重要事實:首先它不能免費解密 – 研究人員仍在努力工作中; 其次不推薦將贖金發送給壞人 – 它將保持他們的業務進行並不確定解密將在以後承諾後發生。 儘管繞過木馬的crypto是不可行的但有幾種替代技術可以幫助恢復操作系統在攻擊之前備份的文件版本。
Locky and Zepto勒索軟體自動刪除和數據恢復
由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:
-
下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件
- 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。
恢復加密的Locky and Zepto檔案的方法
解決方法1:使用文件恢復軟件
很重要的是Locky and Zepto勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。
下载Stellar Data Recovery Professional
解決方法2:利用備份
首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。
解決方法3:使用卷影副本卷
如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。
-
使用之前版本功能勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。
-
應用ShadowExplorer以上過程可以通過一款名為
ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載
並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。
驗證Locky and Zepto勒索軟件是否完全被刪除
除此之外,單單只是Locky and Zepto勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。