5 文章
最新发现的Trojan-cryptor Polyglot (又称MarsJoke)就是对名声不佳(且危害更大)CTB-Locker勒索软件的”仿制”。其界面不禁让人联想起了老式的木马病毒。它模仿CTB-Locker方式更改受害人的桌面壁纸,并为受害人免费解密5个文件以证明文件只是被锁定,而非损坏。
在多数情况下,一旦你不幸成为勒索软件的受害人,对此可以说是完全束手无策。但幸运的是,警察和网络安全公司时常会采取联合行动,关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用,因为其有助于编写解密工具并恢复用户的文件。最近,德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容,可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话,在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话,请参阅以下操作步骤。 第一步:确定自己的计算机是否真的感染了CoinVault勒索软件。 首先,确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单:如果你的计算机被CoinVault感染的话,你将能看到如下图片: 第二步:获取比特币钱包地址 在CoinVault勒索软件界面的右下角,你将能看到比特币钱包地址(上图中用黑圈标记的地方)。复制并保存这个地址非常重要! 第三步:获取加密文件清单 在该恶意软件窗口的左上角,你将能看到’查看加密文件清单’按钮(上图中用蓝圈标记的地方)。点击这个按钮并保存为一个文件。 第四步:清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后,该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步:访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知,则IV(初始化向量)和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV,后面你将需要用到。 第六步:下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息(如下图所示),进行第七步操作。如果没有错误消息,则跳过第七步直接进行第八步操作。 第七步:下载并安装另外的libraries(库) 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步:打开解密工具 打开该工具后你将能看到以下窗口: 第九步:测试解密程序是否运行正常 在首次运行该工具时,我们强烈建议您对解密程序进行测试。具体操作步序如下: 在”单文件解密”框内点击”选择文件”按钮,并选择你想解密的一个文件; 将来自网页的IV输入到IV框内; 将来自网页的密钥输入到IV框内; 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步:解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话,则能立即恢复你的所有文件。选择从第三步中所获取的文件清单,输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话,这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况,我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话,可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话,应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中,我们将不断实时添加新的密钥。