解密InsaneCrypt 或Everbe 1 类勒索软件的方式

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

勒索软件InsaneCrypt 或 Everbe 1.0是基于开源项目的勒索软件感染种类。这类勒索软件可能的分发方式是通过垃圾邮件或黑客入侵远程桌面服务,但还不能完全确定。

好在这类勒索软件变种形式可使用 Michael Gillespie and Maxime Meignan所创建的解码器进行解密。为使用解密器,感染者需要一份加密文件和一份相同的、未经加密的文件,可通过Windows样本图片做到。

当前支持加密文件的变种是将以下扩展名附加到加密文件名称的变种。

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

但这个解密器不会解密Everbe 2.0变种,因为还没发现这种版本的弱点。

如何解密InsaneCrypt 和Everbe 1.0 C勒索软件

InsaneCrypt或Everbe 1.0的受害者可通过将文件加密、重命名为“.insane”、“.DEUSCRYPT”、“.deuscrypt”、“ .Tornado”、“.twist”、“.everbe”、“ .pain”、“.volcano”或“.embrace”扩展名来识别。

要解密Everbe勒索软件所加密的文件,需要先下载InsaneCrypt Decryptor。

下载完成,双击可执行文件,启动解密程序,会看到主屏幕。

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

图表1 解密器屏幕

为了暴力破解解密密钥,我们需要一份解密文件及其初始未经解密的版本。这样就需要双击设置菜单,选择暴力破解器。屏幕打开后,,选择加密文件和其未经加密的版本,如下图所示。

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

图表2 选择暴力破解的文件

选择这两个文件后,双击“启动”按钮,开始暴力破解解密密钥。

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

图表3 暴力破解密钥

完成之后,解密程序会说明找到密钥。关掉强制解密器窗口,密钥会被加载在解密器中,如下图所示。

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

图表4 加载解密密钥

现在我们需要选择目录进行解密。如果你想解密整个盘,只需要选择这个盘。例如:下图中你可以看到我们选择了C盘。

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

图表5 选择驱动盘

准备完成后,双击解密键,开始解密,程序会解密所有加密文件,并在窗口中展示解密状态。

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

图表6 解密文件

完成之后,解密器会展示解密的文件数量。如果跳过了一些文件,可能是因为文件许可。

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

图表7 解密完成

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

注意:尽管文件已经解密,但原始的加密文件还在你的电脑里。一点确认你的文件已经解密,你可以使用CryptoSearch将所有加密文件移动到一个文件夹中,这样就可以进行删除或存档了。之后关掉解密器,就可以正常使用计算机了。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/tech/133578.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code