ADEO21U

最近勒索病毒猖獗,我們最近遇到的案子中更

是各行各業,不過很多都是不聽勸告堅持一拖

再拖,坦白說,我也沒辦法,維修又要右手

價左手要求。

 

一般來說清除病毒之後所面對的解碼問題一直

都是相當頭痛的,除了乖乖付贖金,似乎就沒

了解決方式

 

不過最近卡巴斯基針對  與Bitcryptor做出了

可以"解碼"的方式,不妨來參考看看

 

不過,這是針對這兩種病毒,crypt0l0cker目前

還是沒有曙光消息傳出,各家都還在努力中

 

 

 

snap000436
↑其實真的沒想過會聽到FBI這樣子回應。

來源:http://technews.tw/2015/10/31/fbi-advises-to-pay-up-for-ransomware/

 

勒索程式(ransomware)又名流氓軟體,他會將你電腦上的照片、

文件等檔案加密,並且在電腦中留下聯繫方式,要求受害者交付贖金

,才能取得將檔案解密的解密金鑰。由於實在太過猖獗,荷蘭警方的

國家高科技犯罪部門在今年4月開始與卡巴斯基攜手合作,研究如何

對抗其中兩種勒索軟體「CoinVault」、「Bitcryptor」。甚至也因為

荷蘭警方在9月逮捕了相關勒索程式的作者,接管病毒的伺服器後,卡

巴斯基也因此取得了解密金鑰。

14463666037653
↑現在CoinVault與Bitcryptor的勒索軟體有解了。

 

卡巴斯基日前將取得的CoinVault與Bitcryptor所有的解密金鑰總計

超過1.4萬個,加入解密程式的資料庫中,使用者只要一執行解密程

式,它就會自動將所有加密的檔案解密,其實卡巴斯基與CoinVault

的對抗,是從2014年就開始的,只是當時因為資料庫不齊全,現在

宣稱已蒐集CoinVault與Bitcryptor的所有解密金鑰,讓受害者免費

使用。

snap000435
↑卡巴斯基這五年來,一直努力對抗勒索軟體。

 

此外,卡巴斯基還霸氣的批評FBI,認為附錢給勒索軟體作者並不是好做法,因為

沒人能保證付錢後檔案就會回來,而且付錢是一種助長罪犯的行為。

 文章出處:https://www.kocpc.com.tw/archives/55200

下載網址:https://noransom.kaspersky.com/

 

步驟1:您是否已經感染了CoinVault?首先,請先確認您的檔案是被CoinVault而非其他的勒索軟體

竊取。檢查方式非常簡單:若您被CoinVault感染,將會看到

以下的畫面:步驟2:取得比特幣錢包位址在CoinVault畫面右下角您會看到比特幣錢包的位址

(如上圖黑圈標示處)。複製及儲存此位址對您而言是非常重要的。步驟3:取得被加密檔案列表在惡意軟體畫面的左上角,您可以查看到

'View encrypted filelist'按鈕(如上圖藍圈標示處)。

按此按鈕並另存新檔。步驟4:移除CoinVault前往http://www.jadespring.com.tw/downloads-internet-security.html

並下載卡巴斯基網路安全軟體試用版。安裝後它將從您的系統

中移除CoinVault。請先確認於步驟2及步驟3取得的所有資訊

都已經儲存。步驟5:前往http://noransom.kaspersky.com網站在http://noransom.kaspersky.com網站您可以輸入

自步驟2中取得的比特幣錢包位址。若您的比特幣錢包位址為已

知,IV及key將會顯示在螢幕上。請注意有可能會顯示多筆的

key及IV資料。在此情況下,儲存所有的key及IV到您的電腦中,

稍後您將會用到它們。步驟6:下載解密工具於https://noransom.kaspersky.com下載解密工具

並於您的電腦中執行。若您看到如下圖的錯誤訊息,請接步驟7。

若未顯示錯誤訊息,則跳過步驟7直接進行步驟8。步驟7:下載並安裝additional libraries前往http://www.microsoft.com/en-us/download/details.aspx?id=40779

並依照網頁指示操作,然後下載此軟體。步驟8:開啟解密工具打開此工具後您將看到下列畫面:步驟9:若解密作業正確運作請執行以下測試在第一次執行解密工具時,我們誠摯的建議您執行解密測試。請依照下列步驟:

  • 在"Single File Decryption"中點選"Select file"按鈕並選擇您欲解密的檔案;
  • 輸入網頁顯示的IV至IV欄位;
  • 輸入網頁顯示的key至key欄位;
  • 點選"Start"按鈕。

然後查看新增的檔案是否已被確實解密。步驟10:解密所有被CoinVault竊取的檔案若步驟9都進行順利,接著您便能馬上著手還原您的檔案。

請選擇步驟3中的檔案列表,輸入IV及key並點選start。

若有需要您可選擇

"Overwrite encrypted file with decrypted contents"。完全免費,還原您被CoinVault竊取的檔案在您輸入比特幣錢包位址時,若收到多筆的IV及key,

請務必小心。此時我們無法百分之百確定多筆的IV及key

當中何者是比特幣錢包的真正來源,我們誠摯地建議您不

要勾選"Overwirte encrypted file with decrypted contents"。

若是解密發生問題,您可以其他IV及key的組合繼續嘗試,

直到檔案成功解密為止。若是您一直都沒收到IV及key,您可以等候並查看https://noransom.kaspersky.com。調查作業仍持續進行中,我們也將儘快增加新的key資料。

 

來源:卡巴斯基官方部落格原文網址:http://blog.kaspersky.com/coinvault-ransomware-removal-instruction/原文標題:How to remove CoinVault ransomware and restore your files

 

 

arrow
arrow

    大當家 發表在 痞客邦 留言(0) 人氣()