2016年4月,一个”年轻且野心勃勃的”木马cryptor发布,一般称其为”CryptXXX”。当时是通过名声不佳的Angler和Neutrino漏洞利用工具传播。其作者显然希望在发布这一木马后,就能舒舒服服地坐等钱从受害人钱包源源不断地流入自己的比特币钱包。但事情发展显然并不是他们期望的那样。
在CryptXXX木马出现后没几天,卡巴斯基实验室的专家们就在CryptXXX文件的加密算法中发现了错误,然后成功开发出了”解决方案”。这款叫做”Rannoh decryptor”的免费工具可以用来解密遭CryptXXX加密的文件。
这也让犯罪分子不得不重新开始工作,修复这个bug。为此,他们开始传播新的版本,但却不曾想短短几天时间,我们的专家们又开发出了针对CryptXXX第2版的解决方案。Rannoh解密器得以升级—该木马的受害人也因此能再次免费解密自己的文件。
由于最新版本没过多久又一次被破解,犯罪分子再也不敢怠慢,制作了这一勒索软件的第三版,希望没人能再开发出相应的解密器。
他们差一点就成功了。相当长的一段时间里,CryptXXX(第3版)对全球互联网用户造成了恐慌,加密受害人文件并索要恢复文件的赎金。此外,还能从不同的应用窃取登录凭证。
由于新版本从5月份开始传播,因此我们的专家估计可能已经有数十万用户受到感染。仅卡巴斯基实验室产品就检测和防范了约8万次利用CryptXXX(第3版)感染计算机的尝试。在所有攻击中,有1/4以美国用户作为攻击目标,同时俄罗斯、德国、日本、印度和加拿大用户占承受了另外28%的攻击。
索要赎金的消息根据CryptXXX木马版本的不同略有差异,但通常与上图所示差别不大
但世无定事。今天,我们很高兴地宣布,我们的研究人员已成功开发出针对CryptXXX木马第3版的解决方案,因此任何后缀带.cryp1、.crypt和.crypz的文件都能解密成功。我们为Rannoh解密器工具添加了新的解密功能,访问我们的网站或NoMoreRansom.org上都能找到。
如果你不幸中招—立即访问上述其中一个网站并下载相应工具,即可恢复自己的文件。我们的工具完全免费,能助您恢复遭该木马多个版本加密的文件,完全不用向犯罪分子支付任何赎金,如此便能节省一大笔钱。
“对于遭各种勒索软件家族感染的受害人而言,我们的建议始终不变:就算现在还未有针对特定恶意软件版本的解密工具,也千万不要向犯罪分子支付赎金。保存好损坏的文件,并且要有耐心—相应的解密工具很快就会出现。CryptXXX(第3版)就是一个很好的例证。全球的多名安全专家通过不断努力帮助众多勒索软件受害人。迟早,适用于绝大多数勒索软件的解决方案会被开发出来。” —卡巴斯基实验室安全专家Anton Ivanov表示。
我们另一个建议是主动考虑这方面问题,并提前采取防范措施。初期的预防要比受感染后的文件恢复容易得多。为此,需要遵循以下两个简单步骤:
1.将数据定期备份在可移动媒介上,但前提是不总是和计算机相连。
2.安装一款出色的安全解决方案。顺便提下,最近的独立研究显示,卡巴斯基安全软件在防范勒索软件方面尤为出色。