无奈支付赎金?根本没有这个必要

就在去年,我们与荷兰执法机关合作共同创建了NoRansom网站,旨在帮助CoinVault受害人恢复访问自己的数据。在这之后,我们还特意强化了网站的功能:添加了其他几个免费工具,能恢复被其它cryptor(例如:TeslaCrypt和CryptXXX等等)加密的文件。

就在去年,我们与荷兰执法机关合作共同创建了NoRansom网站,旨在帮助CoinVault受害人恢复访问自己的数据。在这之后,我们还特意强化了网站的功能:添加了其他几个免费工具,能恢复被其它cryptor(例如:TeslaCrypt和CryptXXX等等)加密的文件。

如今,我们在解决勒索软件问题方面又向前迈进了一大步。通过与荷兰警方、欧洲刑警组织和Intel Security的合作,我们共同创建了NoMoreRansom.org网站,我们计划将目前能找到的所有解密器都集合到这个网站上。

目前,我们正准备将另一种病毒的解决方案添加到我们的网站上—以帮助Shade勒索软件受害人恢复被锁的文件。和其它解密器一样,完全免费使用。

Shade

Shade作为勒索软件cryptor家族的一员,于2015年初被发现。Shade利用恶意垃圾邮件或漏洞利用工具作为其主要攻击媒介。后者由于受害人不必打开任何文件,因此更具危险性—只要访问一次这类受病毒感染的网站就会中招。

一旦该勒索软件成功潜入受害人系统,便会向犯罪分子的命令和控制服务器请求加密密钥—就算无法及时连上服务器,也可以使用此前内置的密钥。这意味着,就算PC电脑断网的话,只要该勒索软件依然在系统内,也能正常运行。

该恶意软件随后即开始加密文件,总共能感染超过150种格式,包括:微软办公文件、图片和存档等等。任何文件只要被加密,Shade都会在文件名后加上.xtbl或.ytbl扩展名。加密过程结束后,屏幕上即会显示一封勒索信。

Shade似乎还嫌文件加密”不够刺激”,还会不断进行其它恶意行为:就算受害人已惊恐万分,寻找到了解密器—或支付了赎金—Shade依然不会”善甘罢休”,继续在受感染的PC电脑上下载其它恶意软件。

获取免费解密器

如果你不幸成为了Shade勒索软件的受害人,这里有个好消息带给你:不用付赎金,我们就能帮你恢复加密的文件。具体方法如下:

1.前往NoMoreRansom.org

2.向下拉可以看到解密器的两个下载按钮。选择来自Intel Security还是卡巴斯基实验室的解密器。以下操作方法仅适用于卡巴斯基实验室的解密器。

3.解压缩下载的文件ShadeDecryptor.zip。

4. 运行ShadeDecryptor.exe。

5. 在”Kaspersky ShadeDecryptor”窗口,点击更改参数。

6. 选择需要检查加密文件的驱动器。

7.在同一窗口中,选择”在解密后删除被加密的文件”,但我们并不建议这么做,因为你无法100%确定你的所有文件是否已成功恢复。

8.点击”OK”回到主屏幕。点击开始扫描

9.在”指定一个加密文件路径”的窗口中,选择一个加密文件并点击”打开”。

10. 如果ShadeDecryptor提示无法自动检测受害人ID,可以指定文件路径到readme.txt文件,这可以肯定就是勒索信并含所需的ID。

你的文件终于成功解密了。显然省下了一大笔钱,好好享受吧!为了保护自己未来免遭勒索软件的再次攻击,可以使用一款强大的安全解决方案,比如卡巴斯基安全软件就是不错的选择。有关解决勒索软件问题的更多指导,请查阅这篇博文

安全专家访谈:Jornt van der Wiel谈论勒索软件

Jornt van der Wiel不仅是我们GReAT(全球研究和分析团队)的一名成员,也是我们勒索软件和加密领域的顶尖专家。他常年居住在荷兰,为卡巴斯基实验室工作已超过了两个年头我们为读者提供了很好的机会:就勒索软件和加密问题向Jornt发问—结果得到了热烈的反响。事实上,由于提的问题实在太多,没法在一篇博文中全部写出来,因此决定分两次刊登。

提示