来自 资讯 2022-05-31 00:20 的文章

云盾高防采集_珲春高铁站到防川_快速解决

云盾高防采集_珲春高铁站到防川_快速解决

不要付出,也不要绝望。相反,请使用Avast勒索软件解密程序解锁您的勒索文件。

***2017年5月18日更新:Avast的免费CrySiS勒索软件解密工具现在也可以解密。钱包文件扩展名***

***3月2日更新,为什么要用高防cdn,2017年:Avast的免费CrySiS勒索软件解密工具现在也可以解密.DHARMA文件扩展名***

CrySiS使用.DHARMA文件扩展名加密的文件在2017年3月2日之前无法解密,当时Bleeping计算机共享解密密钥。Avast确认提供给Bleeping计算机的密钥可以解密由CrySiS加密的达摩文件。

原始博文:

勒索软件已成为新的"It恶意软件",攻击数量同比增长105%。因此,我们很高兴地宣布,我们已经为最新的勒索软件威胁发布了四个勒索软件解密工具:Alcatraz Locker、CrySiS、Globe和NoobCrypt。所有解密工具都可用,并附有每个勒索软件种类的详细说明。如果您的计算机感染了其中一种勒索软件毒株,我们现在有工具可以帮助您恢复加密文件:

所有这些工具都是免费的,如果可能,会随着这些毒株的发展而更新。

自从我们发布了第一批七种解密工具以来,我们收到了勒索软件受害者的许多信息,感谢我们并告诉我们这些工具拯救了他们的数字生命和/或业务。我们希望这四个新解密工具将帮助更多无辜的人受到这些勒索软件的影响,并简要描述每一个后续。恶魔岛锁是一个勒索毒株,首次出现在2016年11月中旬。加密的恶魔岛储物柜加密的扩展名".恶魔岛"后加密文件,出现一条消息(该消息位于受感染计算机桌面上名为"ransomed.html"的文件中):

与大多数其他勒索软件不同,Alcatraz没有感兴趣的文件扩展名列表。简单地说,勒索软件加密它能找到的任何东西,并开放供写访问。为防止损坏操作系统(并可能使其无法转动),Alcatraz Locker仅加密%PROFILES%目录中的文件(通常为C:\Users)。

Alcatraz Locker使用Windows的内置加密功能(加密API)加密文件:

赎金消息声明它使用AES-256加密和128位密码。恶意软件分析表明这是错误的(密码实际上是128字节,而不是128位)。但是,该恶意软件使用160位哈希(SHA1)作为256位AES加密的初始密钥。在Crypto API(勒索软件使用)中,这是通过一个有趣的扭曲实现的:

生成的串联哈希用作AES256的初始密钥。

在执行AES-256加密后,集群防御cc,勒索软件还使用BASE64对已经加密的文件进行编码,这导致加密文件有一个典型的模式:

勒索软件声明,取回数据的唯一方法是支付0.3283比特币(撰写本文时约240美元)。但是,如果您使用用于Alcatraz的Avast解密工具,则可以免费获取您的文件:)。赎金信息中提到的30天期限也是一个谎言;您可以随时解密您的文档,即使在30天后也是如此。

加密文件遵循以下模式:.id-.

虽然ID号和电子邮件经常更改,但到目前为止,网络安全现状,我们只看到使用了三个不同的分机名:

.xtbl、.lock和.CrySiS

,例如,加密文件名可以是:

每个加密文件包含解密自身所需的所有数据。小于262144字节的文件被完全加密,ddos云端防御,最后有一个包含加密AES密钥和其他数据(如原始文件名)的结构,允许完全解密。值得注意的是,大于262144字节的文件只进行了部分加密,这仍然使它们无法使用。此功能还会导致加密后较大的文件变大。

加密文件后,勒索软件会以图像形式显示一条消息(见下文),描述如何检索加密数据。该消息也位于受感染计算机桌面上的"Decryption instructions.txt"、"Decryptions instructions.txt"或"README.txt"中。

CrySiS勒索消息的几个示例:

Globe是一种勒索软件,自2016年8月以来一直存在。它是用Delphi编写的,通常带有UPX。一些变体还附带了Nullsoft安装程序:

在未打包的二进制文件中,有一个全局"配置"结构,勒索软件作者可以在其中修改一些功能:

因为分销商可以修改勒索,我们已经看到许多不同的变体创建具有不同扩展名的加密文件。

有趣的是,勒索软件具有内置调试模式,可通过以下注册表设置启用:

启用时,勒索软件将询问每个特定步骤:

基于示例,勒索软件使用RC4或BlowFish加密对文件进行加密。当勒索软件配置为加密文件名时,它使用与文件数据相同的加密方式进行加密,然后使用自己的Base64编码实现对加密名称进行编码。

一些创建的扩展名示例可以使用Avast解密工具进行解密:

通常,勒索软件创建一个名为"Read Me Please.hta"或"How to restore files.hta"的文件,在用户登录后显示:

请勿付款!改用我们的全球解密工具。