ThunderCrypt勒索軟件: 解密文件並刪除病毒
本條目提供了使用非對稱密碼鎖定文件並勒索比特幣以解密文件的新型ThunderCrypt (Thunder Crypt)勒索軟件的內幕。
應用科學中的密碼學最初用於安全通信、數據傳送和信息存儲,遺憾的是目前它的應用範圍並不廣泛。然而,網絡騙子的投機行為顛覆了該現狀。他們偽造出壹種引人註目的惡意代碼,兵用它對用戶的文件進行加密並以此索要贖金。勒索軟件是表示這種特殊的計算機病毒的術語,自從首個案例被發現後這個詞便成為了流行詞。這類感染被稱為ThunderCrypt,是勒索軟件的最新表現。目前給信息技術的安全生態系統造成了大量麻煩,表現出極難處理的惡意特性。
ThunderCrypt利用RSA-2048密碼算法使得被感染的機主無法訪問自己的重要數據。這意味著ThunderCrypt為被感染的計算機生成了壹個2048位的公開密鑰,並用它來爭奪文件的內部結構。雖然文件名本身保持不變,但卻無法打開或進行編輯。無法訪問文件並不是鑒別計算機被感染的唯壹方法,因為勒索軟件會顯示壹個警告窗口,解釋所發生的狀況並給出解決措施。
具體來說就是壹封勒索信,您會看到以下內容:“我們已經對您的所有私人文件進行了加密!(“We have encrypted all your personal files!”) 我們使用了混合RSA-2048公開密鑰加密術,這就意味著如果您沒有私人密鑰就無法解密文件。我們已將私人密鑰存儲在我們的服務器上,您只需要在截止日期之前進行支付,我們就可以幫助您恢復文件。” 而且在圖形界面中給出了最後期限,即超過最後期限就無法完成解密。
根據該警告,受害人要贖回文件就必定要支付0.345 BTC,大約為500美元(按本文寫作當時的匯率)。該勒索信為受害用戶提供了獨特的比特幣地址以用於交付贖金。壹旦完成付款,交易就會被證實,解密過程就會自動啟動。罪犯為了證明解密流程的有效性,會免費解密壹個10 MB以下的文件。
ThunderCrypt主要通過使用具有傳染性的附件進行刷屏從而實現傳播。所以千萬不要打開通過這種方式發送的任何文件,因為這會使加密的勒索軟件得到傳播。如果發生這樣的事情,請您不要著急支付贖金。妳需要做的是找出可替代的恢復技術。
ThunderCrypt勒索軟體自動刪除和數據恢復
由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:
-
下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件
- 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。
恢復加密的ThunderCrypt檔案的方法
解決方法1:使用文件恢復軟件
很重要的是ThunderCrypt勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。
下载Stellar Data Recovery Professional
解決方法2:利用備份
首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。
解決方法3:使用卷影副本卷
如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。
-
使用之前版本功能勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。
-
應用ShadowExplorer以上過程可以通過一款名為
ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載
並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。
驗證ThunderCrypt勒索軟件是否完全被刪除
除此之外,單單只是ThunderCrypt勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。