近期遭受勒索病毒(Ransomware)侵扰的机构层出不穷,其中不乏政府机关、医院、学校或中小企业公司,甚至许多人的家用电脑都曾经中毒。
一般来说,勒索病毒惯用手法是包装在软件或邮件附件,以其他格式伪装,当使用者不小心执行后,它就会在电脑内进行部署,最终将所有文件加密变成无法存取使用,跳出支付赎金来胁迫使用者取得解密密钥恢复文件,而且使用比特币(Bitcoin)技术使嫌犯更难以被追踪。
而对于被勒索病毒加密的文件,则基本上是无解的,因为加密大多采用的是非对称加密算法。使用公钥加密,私钥解密,除非你能拿到黑客的私钥,否则解密几乎是不可能的。
但也不代表所有的勒索病毒都无药可解。在安全公司的努力下,已经有一部分勒索病毒是可解的了。
今天要来介绍一个“拒绝勒索软件”(NoMoreRansom)网站,该网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心,以及卡巴斯基实验室(Kaspersky Lab)和英特尔公司(英特尔安全)所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。除此之外,还有包括趋势科技、bitdefender、avast、EMSISOFT等多家安全厂商提供了他们的解毒工具,同时获得了38个国家和地区的执法部分和七十多家机构的合作支持。
与其说NoMoreRansom是一个提供解密工具的网站,倒不如说他是一个教育使用者如何避免遇到勒索病毒危害的教育网站,内容简单扼要一目了然,例如:备份数据、只打开认识且信任的联络人邮件附件、安装防毒软体、让电脑软件更新保持最新状态,这些虽是老生常谈,谨记在心准没错。还有其他一些关于勒索病毒的知识,大家有兴趣可以详细看一下。
此外,NoMoreRansom还提供在线勒索病毒检测平台,使用者只要上传自己被加密后的文件,它就能从该组织拥有的16万组解密密钥中找出能够解锁的方式,还会让你免费下载合适的复原工具,接下来我就简单介绍一下NoMoreRansom这个网站的使用方法吧!(15000757458)
站点名称:NoMoreRansomProject
网站连接:https://www.nomoreransom.org/
使用教学
步骤一:
开启NoMoreRansom!网站后,首页会直接询问是否要协助你解锁、复原你的文件或文件,而不用支付给黑客赎金?点选“是”后会进入检测平台,如果点选“否”则会有一系列的防护安全信息供使用者参考学习。
步骤二:
NoMoreRansom!的加密文件自我检测平台相当厉害,可能是目前网络唯一提供这项服务的网站!简单来说,使用者只要点选左侧两个按钮将被加密的任一两个文件提取、上传,右侧则是填入你在支付赎金页面看到的Email、网址,这部分需要确认无误,以避免找不到可以解密的密钥或工具,你也可以直接上传勒索病毒留下来的信息(.txt或.html格式)。
最后,点选下方按钮,NoMoreRansom!就会找出可能可以解密、复原文件的密钥让你免费下载,或者可能可以还原的免费工具。如果没有找到解密会工具,网站也会给出提供,告诉你该文件暂时无法解密。
步骤三:
在网站的解密工具页面,提供一系列可协助处理、还原或救援被勒索病毒加密后文件的工具(CoinVault、RannohDecryptor、RakhniDecryptor、ShadeDecryptor),都有各自对应可以处理的勒索病毒扩展名格式。
不过在下载前请务必先阅读使用说明,尤其要先确保勒索病毒已经从你的系统被完整移除,避免在解密后又被重新加密造成文件损毁。
第四步:
利用下载的解密工具对文件进行解密。具体解密的步骤我在这里就不再多说了,因为不同的厂商提供的工具步骤不同,大家只要参照提示操作就可以了。
可能有的同学要问了,不是说勒索病毒都无解吗?这个网站是如何解密的呢?对此,网站上有完整的说明,主要有三种途径:
1.恶意软件编写者犯了一个执行上的错误,因此被加密的文件得以破解。例如Petya 勒索软件和 CryptXXX 勒索软件。
2.恶意软件编写者(如TeslaCrypt 案例)感到内疚,因此发布了密钥或主密钥。
3.执法机构搜获一台带有密钥的服务器并进行了分享,如CoinVault、gandcrab。
最后还是要提醒大家,这里能解开的毕竟还是极少数,目前绝大多数的勒索病毒还是无解的,尤其是最新的变种,所以大家是要注意防范,不可心存侥幸。大家可以按照网站的提示进行防范:
1、备份!备份!备份!
2、使用强大的防病毒软件。
3、确保电脑上的所有软件已被更新。
4、不要轻信任何人。
5、在电脑的windows设置中启用“显示文件扩展名”选项。
6、发现异常即刻断网。
最后提醒大家:
* 勒索病毒的危害远比你想象的恐怖,一定不要心存侥幸。
* 我们一般建议您不要支付赎金。支付赎金只会让网络犯罪分子确认勒索软件是有效的,并不能保证您会得到所需的解锁密钥。