卡巴斯基发布解锁带.crypt扩展免费文件解密工具

  卡巴斯基实验室一直致力于保护用户抵御最新的勒索软件。公司的资深恶意软件分析师Fedor Sinitsyn最近开发出一种解密工具,帮助CryptXXX勒索软件的受害者恢复自己被加密的文件。这种名为CryptXXX的勒索软件针对Windows设备进行攻击,能够锁定文件,拷贝用户数据,并且盗取用户的比特币。

   CryptXXX勒索软件主要通过垃圾邮件互联网用户进行传播,这些垃圾邮件中,包含受感染的附件或指向恶意网站的链接。包含有Angler漏洞利用工具的网站也可用来传播CryptXXX。一旦执行,勒索软件会对受感染系统上的文件进行加密,并且为被加密文件添加 .crypt的扩展名。之后,通知受害者文件已经利用RSA-4096高强度的加密算法进行加密,如果想要重新获取数据,需要向网络罪犯支付一定数量的比特币作为赎金。

卡巴斯基发布解锁带.crypt扩展免费文件解密工具

   目前,互联网环境中有超过50个家族的勒索软件,而且目前没有一种通用的算法能够应对这种威胁或拦截这种攻击。但是,在CryptXXX这一案例中,尽管网络罪犯声称自己使用了RSA-4096加密算法,但事实上他们是在吹牛。所以,卡巴斯基实验室开发出解密工具,供受害者下载

  1. 下载该工具并启动。下载地址:http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.exe

  2. 打开设置并选择驱动器类型(可移动、网络或硬盘驱动器)进行扫描。千万不要勾选“在解密后删除加密文件”选项,除非你能100%确定解密后所有被加密文件都能正常打开。

卡巴斯基发布解锁带.crypt扩展免费文件解密工具

  3. 点击“开始扫描”链接并选择被加密.crypt文件的位置(以及有未加密备份的文件)。

  4. 然后该工具会要求载入原始文件。

  5. 之后,RannohDecryptor即开始搜索所有带“.crypt”扩展的其它文件并进行解密,但解密后的文件大小会比原文件稍小一些。而你使用的未经加密的原始文件越大―则能成功解密的文件也越多。

   经过卡巴斯基实验室专家的努力,受害者能够确认CryptXXX勒索软件是否入侵了自己的系统,而且能够在不支付赎金的前提下,恢复自己的文件。要解密受影响的文件,卡巴斯基实验室的解密工具需要被CryptXXX加密的文件中的至少一个原始文件(未加密的文件,可以是可移动存储设备或云存储空间上保存的一个文件)。

   使用卡巴斯基实验室解决方案的用户还能够得到进一步的保护,因为CryptXXX勒索软件使用的Angler 漏洞利用工具能够在感染初始阶段被卡巴斯基实验室解决方案中的自动漏洞入侵防护技术检测出来。

  卡巴斯基实验室产品将这种漏洞利用工具检测为以下结果:HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.

  要保护自己不被感染,用户可以采取以下安全措施:

  1.    定期备份数据

  2.    保持操作系统浏览器定期更新。CryptXXX使用的Angler漏洞利用工具通过利用软件漏洞,在用户系统中下载和安装勒索软件。

  3.    安装和使用安全解决方案。卡巴斯基安全软件能够提供多层级的保护,全面抵御勒索软件。卡巴斯基全方位安全软件能够提供全面保护,还提供自动备份功能。

   所以,就算你的PC电脑系统不幸遭到CryptXXX勒索软件攻击,也并不代表“世界末日”。想要恢复所有文件,至少需要一个被加密文件的原始(未经加密)版本。如果你部分文件有备份的话,那就再好不过了。

发表评论