最近勒索病毒猖獗,我們最近遇到的案子中更
是各行各業,不過很多都是不聽勸告堅持一拖
再拖,坦白說,我也沒辦法,維修又要右手殺
價左手要求。
一般來說清除病毒之後所面對的解碼問題一直
都是相當頭痛的,除了乖乖付贖金,似乎就沒
了解決方式
不過最近卡巴斯基針對 與Bitcryptor做出了
可以"解碼"的方式,不妨來參考看看
不過,這是針對這兩種病毒,crypt0l0cker目前
還是沒有曙光消息傳出,各家都還在努力中
↑其實真的沒想過會聽到FBI這樣子回應。
來源:http://technews.tw/2015/10/31/fbi-advises-to-pay-up-for-ransomware/
勒索程式(ransomware)又名流氓軟體,他會將你電腦上的照片、
文件等檔案加密,並且在電腦中留下聯繫方式,要求受害者交付贖金
,才能取得將檔案解密的解密金鑰。由於實在太過猖獗,荷蘭警方的
國家高科技犯罪部門在今年4月開始與卡巴斯基攜手合作,研究如何
對抗其中兩種勒索軟體「CoinVault」、「Bitcryptor」。甚至也因為
荷蘭警方在9月逮捕了相關勒索程式的作者,接管病毒的伺服器後,卡
巴斯基也因此取得了解密金鑰。
↑現在CoinVault與Bitcryptor的勒索軟體有解了。
卡巴斯基日前將取得的CoinVault與Bitcryptor所有的解密金鑰總計
超過1.4萬個,加入解密程式的資料庫中,使用者只要一執行解密程
式,它就會自動將所有加密的檔案解密,其實卡巴斯基與CoinVault
的對抗,是從2014年就開始的,只是當時因為資料庫不齊全,現在
宣稱已蒐集CoinVault與Bitcryptor的所有解密金鑰,讓受害者免費
使用。
↑卡巴斯基這五年來,一直努力對抗勒索軟體。
此外,卡巴斯基還霸氣的批評FBI,認為附錢給勒索軟體作者並不是好做法,因為
沒人能保證付錢後檔案就會回來,而且付錢是一種助長罪犯的行為。
文章出處:https://www.kocpc.com.tw/archives/55200
下載網址:https://noransom.kaspersky.com/
步驟1:您是否已經感染了CoinVault?首先,請先確認您的檔案是被CoinVault而非其他的勒索軟體
竊取。檢查方式非常簡單:若您被CoinVault感染,將會看到
以下的畫面:
步驟2:取得比特幣錢包位址在CoinVault畫面右下角您會看到比特幣錢包的位址
(如上圖黑圈標示處)。複製及儲存此位址對您而言是非常重要的。步驟3:取得被加密檔案列表在惡意軟體畫面的左上角,您可以查看到
'View encrypted filelist'按鈕(如上圖藍圈標示處)。
按此按鈕並另存新檔。步驟4:移除CoinVault前往http://www.jadespring.com.tw/downloads-internet-security.html
並下載卡巴斯基網路安全軟體試用版。安裝後它將從您的系統
中移除CoinVault。請先確認於步驟2及步驟3取得的所有資訊
都已經儲存。步驟5:前往http://noransom.kaspersky.com網站在http://noransom.kaspersky.com網站您可以輸入
自步驟2中取得的比特幣錢包位址。若您的比特幣錢包位址為已
知,IV及key將會顯示在螢幕上。請注意有可能會顯示多筆的
key及IV資料。在此情況下,儲存所有的key及IV到您的電腦中,
稍後您將會用到它們。
步驟6:下載解密工具於https://noransom.kaspersky.com下載解密工具
並於您的電腦中執行。若您看到如下圖的錯誤訊息,請接步驟7。
若未顯示錯誤訊息,則跳過步驟7直接進行步驟8。
步驟7:下載並安裝additional libraries前往http://www.microsoft.com/en-us/download/details.aspx?id=40779
並依照網頁指示操作,然後下載此軟體。步驟8:開啟解密工具打開此工具後您將看到下列畫面:
步驟9:若解密作業正確運作請執行以下測試在第一次執行解密工具時,我們誠摯的建議您執行解密測試。請依照下列步驟:
- 在"Single File Decryption"中點選"Select file"按鈕並選擇您欲解密的檔案;
- 輸入網頁顯示的IV至IV欄位;
- 輸入網頁顯示的key至key欄位;
- 點選"Start"按鈕。
然後查看新增的檔案是否已被確實解密。步驟10:解密所有被CoinVault竊取的檔案若步驟9都進行順利,接著您便能馬上著手還原您的檔案。
請選擇步驟3中的檔案列表,輸入IV及key並點選start。
若有需要您可選擇
"Overwrite encrypted file with decrypted contents"。完全免費,還原您被CoinVault竊取的檔案在您輸入比特幣錢包位址時,若收到多筆的IV及key,
請務必小心。此時我們無法百分之百確定多筆的IV及key
當中何者是比特幣錢包的真正來源,我們誠摯地建議您不
要勾選"Overwirte encrypted file with decrypted contents"。
若是解密發生問題,您可以其他IV及key的組合繼續嘗試,
直到檔案成功解密為止。若是您一直都沒收到IV及key,您可以等候並查看https://noransom.kaspersky.com。調查作業仍持續進行中,我們也將儘快增加新的key資料。
來源:卡巴斯基官方部落格原文網址:http://blog.kaspersky.com/coinvault-ransomware-removal-instruction/原文標題:How to remove CoinVault ransomware and restore your files
留言列表
