No More Ransom项目致力于为勒索软件的受害者提供帮助。近期,该项目有一个好消息要向大家报告:比利时警方与卡巴斯基实验室通力合作,想尽办法取得了密钥来恢复使用新版本Cryakl勒索软件(也称为Fantomas)加密的文件。更新后的解密工具已经可以在该项目的网站上提供。
什么是Cryakl?
木马勒索软件Cryakl(Trojan-Ransom.Win32.Cryakl)一开始是以归档文件形式通过电子邮件附件分发的,这类电子邮件表面看似乎是来自仲裁法庭,和某些涉嫌违法行为有关系。这类邮件中的内容让人心烦意乱,甚至那些更有警惕心的人也很可能会点击附件。随着时间推移,电子邮件越来越多样化,有的邮件看起来像是当地房主联合会等组织发来的。
对受害者计算机上的文件加密后,Cryakl会创建一个长密钥,并将其发送到命令控制(C&C)服务器。没有此密钥,想要恢复被该恶意软件锁定的文件几乎是不可能的。在此之后,Cryakl会将桌面壁纸替换为恶意软件开发者的联系详细信息以及赎金要求。Cryakl还会显示1964年法国电影中的反派角色Fantomas(方托马斯)所戴面具的图像,因此这也是该恶意软件另一个名字的由来。Cryakl主要针对的是俄罗斯用户,因此相关信息大部分用俄语提供。
成功案例
正如我们已经前面说过的,我们的专家与比利时警方携手努力,成功获得了主密钥。这一调查过程从计算机犯罪部门了解比利时勒索软件受害者的情况开始,随后他们在邻国发现了一台命令控制服务器。在比利时联邦检察官牵头领导下,开展了一项行动中断了该服务器,同时还中断了其他几台从被感染计算机接收主密钥的命令控制服务器。接下来,卡巴斯基实验室介入,开始协助执法机构寻找破解密钥,这并不是第一次了。和以往一样,合作取得了极好的结果:我们的专家帮助对找到的数据进行分析,最终提取到了解密密钥。
目前,密钥已经添加到No More Ransom网站上的RakhniDecryptor工具中,比利时联邦警察如今已是该项目的官方合作伙伴。No More Ransom自2016年7月成立以来,迄今为止已经成功地为数以万计的人提供免费解密器,解密被勒索软件锁定而无法使用的文件,使网络勒索邮件开发者勒索美梦破灭,至少使用户少支付1000万欧元的赎金。
如何解救被Cryakl勒索软件加密的文件
No More Ransom网站提供了两个工具,用于解密被Cryakl锁定的文件。其中一个工具是RannohDecryptor,大约自2016年起提供,适用于旧版Cryakl。可以在NoMoreRansom.org下载,在此处可获取解密说明。
最近,我们更新了另一个工具RakhniDecryptor,在其中添加了从比利时警方缴获的服务器中获取的主密钥。此工具可以从同一网站下载;说明在这里提供。被新版Cryakl加密的文件需要使用RakhniDecryptor来解密。不管使用哪一种工具,都应该能使被Cryakl感染的文件恢复到完全正常状态。
未来如何保持安全
在处理加密恶意软件时,预防远比治疗更简单、花得钱也少得多。换句话说,加强自身防御,安心睡个好觉要比焦头烂额地去解决文件加密要好得多。在此,我们想与大家分享几点预防性文件保护建议:
1.始终将最重要文件的副本保存在其他位置:云中、其他驱动器、记忆棒或其他计算机上。有关备份选项的更多详细信息,请访问此处。
2.使用可靠的反病毒软件。一些安全解决方案 – 例如卡巴斯基全方位安全软件 – 也可以帮助进行文件备份。
3.不要从可疑来源下载程序。他们的安装程序可能会包含您并不希望自己计算机上有的东西。
4.不要打开来自未知发件人的电子邮件附件,就算发件人看起来很重要、值得信任。如有疑问,请查看相关组织官网上的电话号码,并致电查询。