※ 引述《rock5101437 (Ketrich)》之铭言:
: 从今年ㄧ月计算至今,我已经处理了7次的勒索病毒案件,各位大大有没有今年还没处理
: 过的呀
: 这种勒索病毒有潜伏期,有没有什么方式能知道厂内还有哪些电脑是已中镖但尚未爆发的
: 可以分享ㄧ下治毒之道吗QQ
这几天我遇到经手的第四个案例。
有想说直接放弃,不过基于助人的精神,我还是又查了一下。查到的资料大部
份说无法解。但是看到几篇英文文章说可以解。可惜我试的结果仍然无效。
或许你们可以试试。
RZA4096 Files Virus Ransomware Removal
http://goo.gl/me5QJ0
RZA4096 File Encryption Ransomware Removal
http://goo.gl/UAabBI
Files Are Encrypted by RZA4096 – How to Remove RZA4096?
http://goo.gl/V2U35Q
Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware
http://goo.gl/msFLK5
简单讲一下。那些文章大概是说,勒索病毒会先复制一份,然后对复制的档案
进行加密,接着再把原本的档案删掉。
我猜,大概就像我们压缩档案一样,压缩的过程原始档案当然要存在,然后压
完后会得到压缩档,我们再去把原始档案删掉。
所以,安装资料救援软件,把被删除的原始档案回来。例如
1.Stellar Data Recovery,
2.Data Recovery Pro
=> 我试的结果,没找到可以救的档案。
卡巴斯基有出一套解密软件 Kaspersky RannohDecryptor.exe 。但是必须把
加密跟未加密的档案放在一起比对。通常勒索病毒会把 Windows 内建的图片
也加密。所以去别台电脑,找出同一个 Windows 内建图片,把已加密跟未加
密的档案,丢给那套软件去比对,就可以得到一组解密的金钥。
而且,这套软件可以解密的档案大小,会小于用来比对的档案。
例如把300k的图片解密成功了,拿到解密金钥了。
但是这组解密金钥就只能解开小于300k的档案。
=> 我手边的案例,档案几乎都被加密了,但是 Windows 内建图片好好的。
使用者有些档案在NAS上,没被感染。拿了几个来比对也是无法解。
机器已经重灌还给使用者了,讯息大概是这样
Can't init descryption
文章还说可以安装SpyHunter => 我装了之后扫描,没有发现任何威胁。
我是把中毒的硬盘拔到另一台测试机,然后在测试机装 SpyHunter ,
去扫描那个硬盘。
感觉这是一个持续有在进化的病毒…