勒索软件解密工具大全 | MottoIN

勒索软件解密工具大全

文章共62个勒索软件解密工具,篇幅比较长,可直接使用Ctrl+F检索勒索软件的名字或关键字进行查找。

前言

在这里我们几乎收集了所有已经发布的勒索软件解密工具,并且会依然持续不断的收集更新。但依然不能保证一定能解开您被加密的数据。解密工具能被开发出来,是因为勒索软件作者水平太差,导致在加密过程中密钥泄露。但随着勒索软件作者水平的不断提高,今后开发解密工具将会越来越困难。我们建议您在中了勒索软件之后,如果被加密的数据非常紧急重要(例如财务数据、程序代码之类),试了解密工具解不开后,可以考虑选择交赎金(虽然交赎金也不一定能保证您找回数据),而如果被加密的是一些不常用的照片、视频之类的话,可以选择等待,随着时间的推移,密钥有可能被放出。您需要注意的是,一旦中了勒索软件之后,您就陷入了极其被动的境况,没有人可以保证一定能解开您被加密的文件(包括勒索软件作者自己,一方面密钥有可能在传输过程中丢失掉,另一方面有些勒索软件使用的是有损加密或直接破坏性写入,导致加密数据无法解密),数据只有在自己手中才是安全的!话虽如此,但如果您已经中了勒索软件,依然可以通过下面的工具来试试运气。

ToolsHead

如您还不知道自己种的哪款勒索软件可以通过这个网址来判断: id-ransomware

工具列表

Damage勒索软件解密工具

Damage是用Delphi写的勒索软件。它使用SHA-1和Blowfish的组合来加密文件的第一个和最后一个8 kb。加密文件的扩展名为“.damage”,赎金注释名为“ damage@india.com []。txt”,请联系“ damage@india.com”。赎金便笺包含以下消息:

/ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
================================================ ================================================== ================================================== ========================
SECRET_KEY结束
要恢复您的文件 – 发送电子邮件至damage@india.com

要使用解密器,您将需要一个加密的文件及其未加密的版本。请选择加密和未加密的文件,并将它们拖放到解密器可执行文件中。

参考文章链接

解密工具原始链接

百度网盘备份链接

CryptON勒索软件解密工具

CryptON aka Nemesis aka X3M是一个勒索软件家族,主要用于通过RDP的targetted攻击。文件使用RSA,AES-256和SHA-256混合加密。CryptON使用了以下扩展:

.id-_locked
.id-_locked_by_krec
.id-_locked_by_perfect
.id-_x3m
.id-_r9oj
.id-_garryweber@protonmail.ch
.id-_steaveiwalker@india.com_
.id-_julia.crown@india.com_
.id-_tom.cruz@india.com_
.id-_CarlosBoltehero@india.com_
.id-_maria.lopez1@india.com_

nemesis_ransomnote X3M_ransomnote

要使用解密器,您需要一个大小至少为128 KB的加密文件及其未加密的版本。要启动解密器,请选择加密和未加密的文件,并将它们拖放到解密器可执行文件中。

crypton-decryptor

参考文章链接

解密工具原始链接

百度网盘备份链接

MRCR(Merry X-Mas)勒索软件解密工具

MRCR或Merry X-Mas是去年12月首次出现的勒索软件系列。它是用Delphi编写的,并使用自定义加密算法。加密文件将具有“.PEGS1”,“.MRCR1”,“.RARE1”,“.MERRY”或“.RMCM1”作为扩展名。赎金记录命名为“YOUR_FILES_ARE_DEAD.HTA”或“MERRY_I_LOVE_YOU_BRUCE.HTA”,并要求受害者通过安全移动信使电报联系“ comodosec@yandex.ru”或“comodosecurity”。

QQ图片20170313163904

要启动解密过程,您将需要一个由加密文件和同一文件的非加密版本组成的文件对。文件大小必须介于64 KB和100 MB之间。选择两者并将其拖放到解密器可执行文件以启动进程。

参考文章链接

解密工具原始链接

百度网盘备份链接

Marlboro勒索软件解密工具

Marlboro勒索软件是2017年1月11日出现的。它是用C ++编写,并使用一个简单的基于XOR的加密算法。加密文件重命名为“.oops”。赎金便笺存储在名为“_HELP_Recover_Files_.html”的文件中,不包含其他联系人。

由于恶意软件的代码中的错误,恶意软件将截断到加密文件的最后7个字节。不幸的是,解密器不可能重构这些字节。QQ图片20170313164145

要使用解密器,您将需要一个大小至少为640字节的加密文件及其未加密的版本。要启动解密器,请选择加密和未加密的文件,并将它们拖放到解密器可执行文件中。

参考文章链接

解密工具原始链接

百度网盘备份链接

Globe3勒索软件解密工具

Globe3是我们首次在2017年初发现的勒索软件工具包。Globe3使用AES-256加密文件和可选的文件名。由于加密文件的扩展是可配置的,因此可以进行几种不同的文件扩展。最常用的扩展名是.decrypt2017.hnumkhotep。要使用解密器,您将需要一个包含加密文件及其未加密原始版本的文件对。选择加密和未加密文件,并将它们拖放到下载目录中的解密器文件中。如果文件名加密,请使用文件大小确定正确的文件。对于大于64 kb的文件,加密文件和原始文件将具有相同的大小。

QQ图片20170313164431

由于勒索软件中的错误,小于64 kb的解密文件将比原始文件大15个字节。此文件大小增加是由于勒索软件将文件大小向上舍入到下一个16字节边界,而不保存原始文件大小。对于大多数文件格式,这不太可能导致问题。但是,如果您的应用程序抱怨损坏的文件格式,您可能必须使用十六进制编辑器手动删除文件末尾的尾部零字节。

参考文章链接

解密工具原始链接

百度网盘备份链接

OpenToYou勒索软件解密工具

OpenToDecrypt是一个用Delphi编程语言编写的勒索软件,它使用RC4加密算法加密您的文件。加密的文件被重命名为* .-opentoyou@india.com和一个名为“!!!。txt”的赎金备注可以在您的桌面上找到。赎金note包含以下文本:

您的文件已加密!
解密写电子邮件 – opentoyou@india.com
识别密钥 – 5E1C0884

OpenToYou-Ransom-Note-730x424

参考文章链接

解密工具原始链接

百度网盘备份链接

GlobeImposter勒索软件解密工具

GlobeImposter勒索软件是Globe的一个复制品,借用了Globe的勒索信件、文件后缀名、包括基本的外观和感觉。加密文件的扩展名为* .crypt,文件的基本名称不变。赎金注释命名为“HOW_OPEN_FILES.hta”,可以在包含加密文件的所有文件夹中找到。

YDB5$EN24D6{)8UML~PF60B

要启动解密,您需要将一个被加密文件和同一文件的非加密版本组成的文件比对。选择两者并将其拖放到解密器二进制文件来启动该过程。

参考文章链接

解密工具原始链接

百度网盘备份链接

 

卡巴斯基出品的综合性解密工具

简介

卡巴斯基出品了两款综合性解密工具,能解多款勒索软件加密的文件。但有些是您需要注意的是:

卡巴对勒索软件命名和欧美的那些安全厂商不同,有自己的独特的一套命名方式,这种命名格式有优点也有缺点,欧美厂商通常以勒索软件一些常见的特征为勒索软件命名,优点是你只要看到名字就能迅速反映过来是那款勒索软件。缺点是,由于勒索软件版本更新,有些常见的特征会变掉,因此就容易出现同一个勒索软件(核心加密原理相同)但是有多个命名的情况。卡巴的则倾向于取一些勒索软件的中的不常见的关键特征作为名字,好处是这些关键特征基本不会被改,因此可以很容易的定位出属于哪个家族的。缺点是关键特征不一定是常见特征,因此可能你看到这些特征还是很难反映到底指的是哪一款勒索软件。另外还有的就是地区性的问题,卡巴大部分解密工具解的勒索软件都是在俄语国家中流行的。

这些是需要使用者注意的。两款解密工具介绍如下:

第一款工具RannohDecryptor 可解7种勒索软件,7款勒索软件如下:

  • Trojan-Ransom.Win32.Polyglot
  • Trojan-Ransom.Win32.Rannoh
  • Trojan-Ransom.Win32.AutoIt
  • Trojan-Ransom.Win32.Fury
  • Trojan-Ransom.Win32.Crybola
  • Trojan-Ransom.Win32.Cryakl
  • Trojan-Ransom.Win32.CryptXXX (目前能解版本1、版本2,版本3)

第二款工具RakhniDecryptor 可解15种勒索软件(包括一款安卓下的勒索软件),15款勒索软件如下:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.AndroidOS.Pletor (安卓下的勒索软件)
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman (Bitman就是TeslaCrypt)
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Crusis

工具使用流程如下:

viruses_10556_0113-214761

viruses_10556_0213-214764

viruses_10556_0313-214765

viruses_10556_0413-214768

viruses_10556_0513-214770

参考文章链接

解密工具原始链接

百度网盘备份链接

趋势科技出品的综合性解密工具(可解24种勒索软件)

简介

RansomwareFileDecryptor是趋势科技出品的一款勒索软件综合性解密工具,目前可以解密24款勒索软件加密后的文件。使用时要注意先正确选择解密的勒索软件。选好后再开始解密。该工具目前支持解密的勒索软件如下表所示:

ToolsDetail

操作界面如下图:

AntiRansomware

原链接地址

解密工具原始链接

百度网盘备份链接

NMoreira(别称XRatTeam或XPan) 勒索软件解密工具

简介

NMoreira勒索软件又称为XRatTeam或XPan。它是与XRat团队和AiraCrop有一定关联。该勒索软件使用非对称加密算法(高强度,但加密速度慢),在加密过程中,NMoreira会把被加密文件的扩展名改为*.maktub*.__AiraCropEncrypted! 。成功加密后,勒索软件会在受害者桌面上创建一个文件叫"Recupere seus arquivos. Leia-me!.txt"用以向用户要求支付赎金,该勒索软件每次会向受害者勒索0.5比特币,同时留下电子邮箱"contatomaktub@email.tg"让用户与之联系以确认赎金已交付,中招后如下图所示:

nmoreira-homepage

参考文章链接

解密工具原始链接:

百度网盘备份链接:

OzozaLocker 勒索软件解密工具

简介

OzozaLocker对受害者文件进行加密后会把文件后缀名改为".locked",然后会受害者桌面上创建”HOW TO DECRYPT YOU FILES.txt”  文件,文件内容就是让用户通过联系电子箱santa_helper@protonmail.com,同时支付1比特币以赎回被加密的文件。被该勒索软件加密后的文件与原来相比会多出510个字节。中招后文件如下图所示:

ozozalocker-folder参考文章链接

解密工具原始链接

百度网盘备份链接

Rotor 勒索软件解密工具

简介

Rotor勒索软件会加密受害者电脑上的数据文件,在加密过程中,会把原文件的扩展名改为“!____GLOK9200@gmall.com____.tar”"!____cocoslim98@gmail.com___!"。和其它勒索软件不同的是该勒索软件加密完之后并不会弹窗或创建文本文档要求用户支付赎金,用户只有联系上面被加密文件的扩展名邮箱后,才会收到需要支付多少赎金以及如何解密等信息。该勒索软件解密赎金大概是7比特币。与勒索软件邮箱联系后收到邮件信息如下图所示:

rotor-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

Al-Namrood 勒索软件解密工具

简介

Al-Namrood勒索软件可以为视为Apocalypse勒索软件的一个分支。当服务器远程桌面连接时Al-Namrood还可以对远程服务器进行攻击。该勒索软件加密文件后会把文件扩展名改为*.unavailable*.disappeared,同时会在被加密的文件夹下生成*.Read_Me.Txt,该勒索软件会要求受害者联系电子邮箱"decryptioncompany@inbox.ru""fabianwosar@inbox.ru"。并且通常会要求用户支付500美金赎金。中招后文件如下图所示:
alnamrood-folder

参考文章链接

解密工具原始链接

百度网盘备份链接

FenixLocker 勒索软件解密工具

简介

FenixLocker是一款使用AES加密算法的勒索软件。在加密过程中,该勒索软件会把被加密文件的扩展名改为.centrumfr@india.com  加密以后会在用户桌面上生成"Help to decrypt.txt" "Cryptolocker.txt"  文件要求用户交付赎金。勒索软件大概会要求受害者支付0.5~1.5不等的比特币赎金以赎回被加密文件。该勒索软件的传播方式主要是通过P2P网络,免费软件的更新工具包,恶意电子邮件和木马的方式进行传播。文件被加密后结果如下图所示:fenixlocker-folder

 

参考文章链接

解密工具原始链接

百度网盘备份链接

Crypt0 勒索软件解密工具

简介

Crypt0和其它勒索软件一样会加密你电脑上的大部分数据,在加密过程中会把加密后的文件名中加入"_crypt0"字符。例如”aaa.jpg”被加密以后会变成”aaa_crypt0.jpg”。加密完成后会在受害者桌面上生成一个文本文件,名字叫做"HELP_DECRYPT.txt"。该文件内容就是让受害者通过电子邮件联系"findImaf@gmail.com",并且大概需要赎金0.5~1.5比特币以赎回自己被加密的文件,同时该勒索软件作者宣称使用了非对称加密技术对文件进行加密。但是幸运的是Micheal Gillespie写出的破解工具。中招后解密如下图所示:crypt0-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

KawaiiLocker 勒索软件解密工具

简介

KawaiiLocker勒索软件主要在俄罗斯本土以及其它说俄语的国家肆虐。该勒索软件会向每个受害用户要求支付6000卢布的赎金(按目前汇率大概相当于100美金左右),KawaiiLocker和其它勒索软件相比威胁相对来说较小,一旦用户支付赎金就会对文件进行解密。但还是一些区别就是。该勒索软件会把自己加密过的文件名都放在一张叫做“crypt_list”的表里头,解密时是就根据这张表中的名单来解密。而且KawaiiLocker并不会更改自己加密过后的文件后缀名。中招后弹出界面如下图:

KawaiiLocker-Ransomware

参考文章链接

解密工具原始链接

百度网盘备份链接

Philadelphia(新版Stampado) 勒索软件解密工具

简介

有个叫做Rainmaker的勒索软件开发者开发出了新版Stampado,并起名叫做Philadelphia,售价400美金。据Rainmaker宣称,Philadelphia给想要从事勒索黑产的新手或小白提供了一个廉价的解决方案。只要400美金就可以随心所欲的定制出自己想要的勒索软件了。但是通过仔细分析,可以知道这不过是Philadelphia给自己打的一次广告而已。因为该勒索软件是通过AutoIT脚本语言编写而成,这就决定了它很容易被反编译即分析出其中的弱点,果不其然,不久之后Emisoft研究人员Fabian Wasar就找到其中弱点,并写出了解密算法。以下分别是Philadelphia运行之后弹出的锁屏界面,以及定制Philadelphia勒索软件的工具界面。lockerphiladelphia-headquarters-application

参考文章链接

解密工具原始链接

百度网盘备份链接

Fabian 勒索软件解密工具

简介

这个就有点搞笑了,Fabian勒索软件是这样子的。Fabian 是Emsisoft恶意威胁研究实验室的CTO。他在这几年写了大量的勒索软件解密工具。因此勒索软件作者实在受不了了,于是写了款勒索软件取名叫Fabian勒索软件企图黑他。由代码风格可加密算法可以推断出应该是Apocalypse作者干的。他把创建勒索软件的窗口标题特地改为了“Fabiansomware”,另外互斥量名次也同时被改为了"Local\Fabiansomware"。当然真正的Fabian看到以后也是哭笑不得,但还是很快推出了Fabiansomware的解密工具。因此该勒索软件其实相当于Apocalypse的一个变种,如果你中了Apocalypse无法解密的话,也可以试试这个解密工具。窗口标题和互斥名次改名分析证据如下图:slack-imgs.com_

参考文章链接

解密工具原始链接

百度网盘备份链接

Globe(Globe2) 勒索家族软件解密工具

简介

Globe勒索软件家族是Pokenmon和Mr.Robot(两个假名)在16年8月份开发出来的勒索软件加密开发包,其它的黑客可以基于此开发包进行二次开发。此开发包默认是会把被加密的文件名后缀名改成.purge .globe.okean 。但是二次开发的勒索软件作者可以随意更改这个名字。16年10月出该勒索软件加密算法被破解,于是勒索软件作者进行了二次开发,放出了Globe2,它增加的RC4加密算法,并且每次文件被加密后后缀名变成.raid10, .blt, .globe, .encrypted and .[mia.kokers@aol.com],中招后弹出界面如下图:

Taken from BleepingComputer.com
Taken from BleepingComputer.com

参考文章链接

解密工具原始链接

百度网盘备份链接

Wildfire 勒索软件解密工具

简介

Wildfire通过精心构造的垃圾邮件进行传播。一情况下,一封典型的垃圾邮件会包含一个转发者失败的递送请求包,这样接受者就会根据要求填写新的约定递送请求表。此时它就把自己的包填写进去。这样就会被目标邮箱所下载。在这里有三点值得注意:1、攻击者注册了一个荷兰域名过去这种情况并不常见。2、垃圾邮件是从荷兰发出来的。3、他们真的把地址信息写在了电子邮邮件里头。这些情况很少见,会导致普通用户很难判断其实这些邮件并不是初次就发送与起始邮箱。这款勒索软件使用AES cbc的加密方式加密受害者文件,加密后会弹窗要求用户支付299美金或欧元以赎回文件,中招后弹框如下图所示:wildfire

参考文章链接

解密工具原始链接

百度网盘备份链接

Stampado 勒索软件解密工具

简介

Stampado之所以被发现是因为它的开发制作工具在暗网中以39美金的进行廉价促销。现实生活中没有拿到真正的样本来源,我们拿到该样本也是从VirusTotal上找到的,但目前还无法确认这些样本究竟是其它安全公司分享出来的还是说勒索软件作者自己测试时样本不小心被安全软件自动抓取到的。我们目前所知道的是,该勒索软件有着完善的函数功能并且是通过AutoIt 脚本语言编写而成。当然运行以后,会使用AES加密算法来加密用户文件,然后会弹框要求用户支付赎金。而且该勒索软件还继承JigSaw相似的功能,那就是不仅加密文件,而且每隔一小时都会删除相应数量的文件直到用户付款为止。而且同时还会锁住用户界面。以下是付款提示界面和时限删除被加密界面(仿JigSaw):stampadostampado-jigsaw

参考文章链接

解密工具原始链接

百度网盘备份链接

BitStak 勒索软件解密工具

简介

BitStak会加密你电脑上的所有的数据文件,在加密过程中会把文件名改成11个左右随机字符然后再加上”.bitstack”,例如”aaa.jpg”文件被加密之后可能就会变成"ASdeeTgf.gfa.bitstack"。同时每个被加密的文件命名都不相同。在加密完成后,BitStak会对受害者电脑进行锁屏,然后弹出要求受害者支付大概40欧元的赎金以解密文件。中招后弹出勒索界面如下图所示:

bitstak-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

Unlock92 勒索软件解密工具

简介

Unlock92和勒索软件Kozy.Jozy的作者是同一人,后者最早出现于2016年6月下旬左右。在Kozy.Jozy出现后大概一个礼拜左右,Unlock92就出现了,可视作Kozy.Jozy勒索软件的一个变种。Unlock92最早是由Malwarebyte安全研究者在2016年6月30号左右发现的。Kozy.Jozy刚出现时用了RSA-2048强加密算法,因此紧跟着很多安全研究者就开始寻找如何针对其编写漏洞进行破解,Kozy.Jozy作者知道后,就根据Kozy.Jozy的基础代码进行二次开发,一个礼拜后Unlock92就出现了,它修复了Kozy.Jozy勒索软件的一些算法漏洞。最初的Unlock92对文件进行加密后会把文件后缀名改为CRRRT。Unlock92也是第一款会用俄文语音提醒用户交赎金的勒索软件,中招后提醒交赎金的界面如下图:CmMHi_DWgAAxVLa

参考文章链接

解密工具原始链接

百度网盘备份链接

Bart 勒索软件解密工具

简介

在Nercurs僵尸网络回归并主要致力传播Locky勒索软件的传播之后,安全专家们开始注意到一款新的通过僵尸网络传播垃圾电子邮件的勒索软件Bart。之所以叫Bart,因为每个被该勒索软件加密后的文件扩展名都会带上Bart关键字。但还是可以看出它与Locky勒索软件应该是一对老伙伴了。因为和Locky勒索软件相似之处他们几乎完全一样,而且研究者认为已经有很强的证据可以证明二者的关系并建议网络刑事组织就Bart勒索软件展开调查。Bart加密方式使用了Zip加密压缩包的算法(这些算法都是开源的,拿来就能用),并且发垃圾邮件中的附件中带有JS脚本(Locy也是JS脚本做初次下载),该脚本会先下载执行臭名昭著下载者成为RockLoader。而Locky勒索软件也是用了这个下载模块。加密之后会弹窗向受害者勒索软件3个比特币的赎金,中招之后弹出勒索解密如下图:bart-2

参考文章链接

解密工具原始链接

百度网盘备份链接

LeChiffre 勒索软件解密工具

简介

在2015年6月左右BleepingComputer论坛就发现有人反映中了LeChiffre勒索软件。但直到最近之前都一直无法拿到该勒索软件的样本,这是因为LeChiffre软件的传播方式与以往的普通威胁,如下载者、Web溢出、或者电子邮箱等传播方式都不同,LeChiffre只提供手动安装的功能。因此它的运行场景通常是在一个黑客黑了别人的服务器之后,通过远程桌面登录或者telnet等方式登录目标服务器后,把LeChiffre上传上去然后进行手动安装。然后要服务器拥有者支付一定赎金来赎回被加密的文件。而黑客一旦手工运行完LeChiffre对服务器数据进行加密之后,都会在手动的把残留文件全部删除,因此就无法找到样本。每个被加密的文件后缀名都会被改成.lechiffre 并且在被加密的文件目录下都会生成一个_How to decrypt LeChiffre files.html 的文件。该文件会提示受害者如果短期内需要这些被加密的文件的话请联系邮箱:decrypt.my.files@gmail.com   ,如果不是急需的话可以等待六个月,六个月后被加密的文件将会自动解密。有意思的是我们见过的大部分受害者都并不急需这些文件,通常他们都会等6个月。中了该勒索软件后,_How to decrypt LeChiffre files.html内容如下图所示:info

参考文章链接

解密工具原始链接

百度网盘备份链接

Mircop(别称Crypt888) 勒索软件解密工具

简介

与以往勒索软件一步步教导用户如何支付的情况不同的是,该勒索软件会先假定用户已经熟知比特币系统,并且直到该如何去支付赎金。而且Mircop“宣称”受害者偷走了他们的比特币。请求用户把这些比特币“还”回来。同时Mircop要求用户的支付的赎金高达48.48比特币(2016年6份左右这些比特币相当于28730.7美金)。这也是目前为止我们所见到最高的赎金要求了。在提示的最后该勒索软件还留下了比特币支付钱包地址,同时还建议用户多多熟练和使用比特币交易平台。我们确认了过该地址,还好到目前为止,并没有用户往该地址进行支付。中招后提示界面如下图:mircop-note

参考文章链接

解密工具原始链接

百度网盘备份链接

Nemucod 勒索软件解密工具

简介

Nemucod勒索软件最早出现于2015年3月份,当时的版本只能相当于一个简单的下载者病毒。但随着Nemucod不停的进化,渐渐就带上了加密文件的功能,因此我们现在必须视其为勒索软件了。并且对自己加密后的文件后缀都会被改为.crypted。根据因特尔安全(麦咖啡)研人员表明,最新版本的Nemucod主要是通过js脚本和PHP代码来加密用户文件。Nemucod的感染路数和过去相同,通过给用户发垃圾右键,然后通过zip附件运行js脚本,该脚本会运行对用户文件进行加密的进程。JS脚本会下载五个文件到用户的电脑上,分别为a.exe a1.exea2.exe a.phpphp4ts.dll。然后js脚本会启动a.exea.exe其实是PHP4.4.9.9的语言解析器。同时加载php4ts.dll,这是php运行依赖库文件。然后让php语言解析器去执行a.php的代码。a.php就包含了勒索软件的加密代码。中招以后弹窗如下图:Teslacrypt

参考文章链接

解密工具原始链接

百度网盘备份链接

Crypt38 勒索软件解密工具

简介

Crypt38是一款主要发作于俄罗斯一带的勒索软件。通过网页Web下载方式进行传播,在它侵入受害者系统之后,就会开始对数据文件进行加密,并把加密文件的后缀名该为.crypt38。在成功对所有数据文件进行加密后,Crypt38会弹出一个窗口要求用户支付1000卢布以赎回文件。中招后弹出勒索界面如下图所示:crypt38-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

Apocalypse(ApocalypseVM) 勒索软件解密工具

简介

Apocalypse对受害者文件加密之后会把加密后的文件扩展名改为.encrypted。同时会生成一个该文件名+.README.txt 的文件。该文件内会提示用户通过联系的电子邮箱以支付赎金。该勒索软件会要求受害值支付0.5至1.5比特币赎金不等。2016年11月9日该勒索软件升级并把加密后的文件后缀名改为:文件名+*8characters+countrycode[decryptgroup@inbox.ru].access_denied 的形式。

中招后勒索提示信息如下图:

apocalypse-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

Legion(Centurion_Legion) 勒索软件解密工具

简介

Legion勒索软件属于勒索软件家族Troldesh(编者注:卡巴斯基又称其为Shade家族,该家族又被人俗称xtbl,因为加密后文件扩展名会被改成”xtbl” )的一个分支变种。在侵入系统之后,Legion会加密会把文件扩展名给为”.centurion_legion_@_aol.com.xtbl“,加密完后,该了勒索软件会更改用户桌面壁纸来显示勒索提示信息。通常该勒索软件会要求受害者支付0.5~1.5之前的比特币以赎回。中招后界面如下图所示:centurionlegion-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

Lortok 勒索软件解密工具

简介

Lortok会使用俄语语音提示用户交互赎金。当系统被Lortok侵入之后,Lortok会使用AES256加密算法对系统中的数据文件进行加密。在加密过程中会把文件扩展名改成 “.crime“。加密完之后Lortok会弹出一个俄文提示让用户交付赎金以赎回被加密的文件。该勒索软件要求用户支付5美金(没有少打几个0,就是5美金,你没有看错)。中招后可以看到英文提示交付赎金的部分内容如下:

English Translation:
Hello, all your files are encrypted, please contact us to restore them.
The cost of decrypting files is $ 5
To do this, follow these steps:
1) Download the ‘Tor Browser for Windows’, you can download it here https://www.torproject.org/download/downl
oad-easy.html.en
2) Install and run ‘Tor Browser’
3) Click on the link ‘http //3qo5aqjlesrudfm3.onion/ Id = …’ in the ‘Tor Browser’ – (ATTENTION, the site is availab
e only through the ‘Tor Browser’)
4) Follow the instructions on the website
————————————————– ————
To login to the site using:
ID: 55sd3f3
HashID: 4pbf28d2s
————————————————– ————
1) Attention, ‘Overwrite / rollback’ of windows does not help to restore files but can ultimately damage them, and e
ven then we will not be able to restore them.
2) Antivirus nod32, drweb, kaspersky, etc. will not help you decrypt the files, even if you buy them a license for 10
years, theywill still not restore files.
3) To encrypt files using AES which was established in 1998, for 17 years, no one on Earth could not crack the enc
ryption algorithm, even the NSA.
4) The key to other users you will not work, since each user a unique key, so do not expect that someone will pay a
nd will lay the key to decrypt the files.

参考文章链接

解密工具原始链接

百度网盘备份链接

BadBlock 勒索软件解密工具

简介

BadBlock勒索软件和其它勒索软件不同的是它对受害者的电脑上的数据文件进行加密之后并不会改变文件的扩展名。并且加密之后会在每个被加密的文件夹下生成一个Help_Decrypt.html文件。该文件会提示受害者如何进行赎金支付。该勒索软件要求用户支付2个比特币(1比特币大概相当于442.77美金)。中招后弹框界面如下图:

ElJmkGi[1]

参考文章链接

解密工具原始链接

百度网盘备份链接

.777(别称Democry) 勒索软件解密工具

简介

该勒索软件会叫做.777主要是业界当前并没有对该勒索软件进行命名,而该勒索软件对文件对文件进行加密后会把文件扩展名改为.777,因此大家就称呼它为.777勒索软件。该勒索软件会创建两个密钥(公钥用来加密文件,私钥用来解密)。由于作者水平太差,导致该勒索软件有弱点,因此实际上并不需要私钥就可以进行解密了。该勒索软件每次大概要求受害者支付500至1500美金左右。中招后如下图所示:777-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

TeslaCrypt(别称Bitman) 勒索软件解密工具

简介

TeslaCrypt在早期的版本中只会加密一些针对性的电脑游戏关键数据文件。再往后的版本才开始加密其它的文件格式。在那个时期,根据玩家的反馈的信息来看,TeslaCrypt大概会加密40种不同的游戏包含了185种文件格式。这些游戏包括大家熟知的使命的召唤、魔兽世界、我的世界和坦克世界等等。主要是加密内容包括游戏存档、玩家配置文件、定制地图以及游戏MOD数据,甚至连硬件驱动程序,它也不放过。然后在新TeslaCrypt变种中,它就不满足只对游戏数据进行加密了,还把魔爪伸向了word文档、PDF、JPEG和其它的文件。在这个过程中,它都会向受害者敲诈$500美金的比特币来解密被加密后的数据。虽然TeslaCrypt勒索弹窗界面以及函数的调用的形式与CryptoLocker类似,但其实内部完全不同,另外TeslaCrypt还会利用Adobe Flash各种0Day溢出漏洞进行感染。虽然TeslaCrypt一度声称自己使用的是非对称加密算法来加密文件,但思科Talos团队的研究者发现其实用的是对称加密算法,还同时发现了其弱点而且开发出了解密工具并公布工具源代码。TeslaCrypt作者发现后修复了该弱点后发布了2.0版本。接着在2015年11月左右,卡巴斯基的安全研究人员发现了2.0也有弱点,然后根据这个弱点开发了出2.0的解密工具。和思科不同的是,卡巴斯基放出了解密工具但是没有解密工具代码。因此TeslaCrypt的作者自己也不知到底哪里有弱点,就无法进行修复。虽然如此,TeslaCrypt作者还是硬着头皮进行了弱点修复后发布了3.0,结果2个月不到,3.0的解密工具又被人家放出来了。TeslaCrypt作者表示不服。再次强行修复弱点发布4.0,结果依然短时间内破解工具紧接着出来,然后TeslaCrypt作者表示服了,从此TeslaCrypt销声匿迹。被TeslaCrypt加密后的文件扩展名是随机的。中招以后弹出的勒索页面如下图:TeslaCrypt-1-550x457

参考文章链接

解密工具原始链接

百度网盘备份链接

SZFLocker 勒索软件解密工具

简介

SZFLocker主要通过电子邮件,Web溢出漏洞与社交媒体等方式进行传播。同时使用了非对称加密算法RSA和对称加密算法AES对文件进行加密。对文件进行加密之后会在文件末尾添加新的扩展名".szf",例如原来”aaa.jpg”文件被加密后会被改成”aaa.jpg.szf”,加密以后会向让用户联系电子邮箱"deszyfraotr.deszyfr@yandex.ru"以支付赎金,赎金金额为500美金。中招后界面如下图:

szflocker-ransomware-screenshot-525x240

参考文章链接

解密工具原始链接

百度网盘备份链接

AutoLocky 勒索软件解密工具

简介

AutoLocky勒索软件试图模仿我们所熟知的勒索软件Locky(编者注:Locky目前属于无解,其实只要勒索作者正确理解加解密算法并且懂一些破解常识的话,写出来的勒索软件都是无解的)。虽然试图模仿,但AutoLocky和Locky有着明显的不同,前者主要使用AutoIt脚本语言编写,而后者则是VC++进行编写的。而且AutoLocky是有解密工具的,中招后界面如下图所示:part-of-the-ransom-note

参考文章链接

解密工具原始链接

百度网盘备份链接

JigSaw 勒索软件解密工具

简介

JigSaw勒索软件不仅会加密你的电脑上的数据文件,而且如果你逾期不交付赎金的话还会删除被加密的文件该勒索软件大概会向用户勒索软件150美金来解锁被加密的数据。当JiaSaw显示出要求支付赎金提示之后,每小时都会删除相应个数的文件直到受害者支付赎金为止。这个时间段内受害者甚至不知道哪些文件会被先删除掉。虽然这并不是我们第一次见到扬言要删除文件的勒索软件,但的确是我们第一次见到勒索软件真的这么做的,以往的勒索软件顶多就是吓唬吓唬而已,而且更丧心病狂的是每隔60分钟就删除一部分文件的做法也是首次见到。以下是中招之后的提示页面:jigsaw-ransomware

参考文章链接

解密工具原始链接

百度网盘备份链接

Alpha(旧版) 勒索软件解密工具

简介

Alpha(旧版,16年7月份推出了新版,新版暂时无解)会加密你电脑上的大部分数据,使用的是AES256加密算法。加密后会向受害者要求支付400美金的iTunes礼物卡。幸运的是该版本的免费解密工具目前已被放出。该勒索软件也会教导对iTunes礼物卡不熟的受害者如何去使用礼物卡进行支付。这个和TrueCrypter很像,后者只接受亚马逊礼物卡的支付方式。所以它会教导用户怎么去使用亚马逊的礼物卡。中招后受害者桌面会被替换成下图:RNvnVPcg[1]

参考文章链接

解密工具原始链接

百度网盘备份链接

Xorist 勒索软件家族解密工具

简介

有很多个人用户到安全社区反应自己的数据被Xorist 勒索软件家族所加密。该勒索软件家族之所以会感染如多的用户,是因为此勒索软件家族有一个现成的可订制工具,一般小黑客只要稍微改一下配置就可以马上定制出新的变种了。也正是由于改勒索软件很容易被定制出来,这也导致了他有许许多多种的文件扩展名后缀。目前最常见的被加密的文件后缀名有EnCiPhErEd、.73i87A、 .p5tkjw、.PoAr2w等等。该勒索软件家族可定制工具叫做Encoder Builder v2.4 from [Pastorok] ,操作界面如下图:看界面就我们就看出该定制工具让使用者自己定义要加密的文件类型,以及自定义加密后的勒索软件扩展名等等。

xorist-builder

参考文章链接

解密工具原始链接

百度网盘备份链接

UmbreCrypt(HydraCrypt非mbr加密那个Hydra) 勒索软件解密工具

简介

UmbreCrypt是勒索软件CrypBoss的一个新变种。该勒索软件家族使用的AES加密算法对用户数据进行加密,然后通过给用户一个电子邮箱地址让用户与之联系支付赎金来赎回自己被加密的数据。直到目前为止本来都没有免费的解密工具的,但是 Emsisoft的Fabian Wosar改了改他的CrypBoss的解密工具算法后,就可以对解密该勒索软件了。另外该勒索软件主要是通过溢出攻击方式进行传播,而且只会对C盘~H盘之间符合加密类型的文件进行加密,被加密的后的文件扩展名(后缀名)会包含有umbrecrypthydracrypt字符。中招后界面如下图:lock-screen

参考文章链接

解密工具原始链接

百度网盘备份链接

DMALocker(DMALocker2) 勒索软件解密工具

简介

DMALocker是一款新的勒索软件,由PhysicalDriveo发现并且由Hasherezade所分析。该勒索软件通过AES算法加密受害者数据文件,并且要求支付4比特币以赎回。该勒索软件在早期版本有bug导致无法解密,但是新版本中修复了这个问题。DMALocker还有其它一些有意思的功能,例如他会加密还未映射网络共享文件,并且会加密所有非特定文件。同时被其加密后的文件扩展名是随机的。中招后的弹出的勒索界面如下图:dmalocker

参考文章链接

解密工具原始链接

百度网盘备份链接

Gomasom 勒索软件解密工具

简介

Gomasom的受害者最近应该算是有福音了,Emsisoft公司推出的工具可以对其进行解密。Gomasom(谷歌邮件赎金软件),是恶意赎金犯罪系统的一个新星。它会加密用户的文件,并在每个文件名里加入Gmail地址,换成.crypt的扩展名。该工具通过分析加密文件,可以让用户获得解密的密钥来解锁文件。Wosar解释说,在受害人同时拥有加锁后的文件和原始版本的文件时,该工具经过分析两者会有很高的成功率。不管怎样,总是有可能获取到解密的。Gomasom-Ransomware-decryption-tool

参考文章链接

解密工具原始链接

百度网盘备份链接

Radamant 勒索软件家族解密工具

简介

Radamant Ranware Kit是一款新的勒索软件开发包家族,所有黑客都可以使用该勒索软件加密开发包进行二次定制开发,该勒索软件开发包使用AES-256加密算法对文件进行加密,并且要求受害者支付0.5比特币以赎回自己被加密的文件。目前并不知道该勒索软件是是如何进行传播的,但可以知道的是它会先通过浏览器溢出漏洞来感染用户极其,然后会在temp目录下生成一个.tmp文件并运行。当执行加密操作之后就会弹出一个提示页面要求用户支付赎金。用户支付赎金确认和解密操作是通过C&C服务器来进行操作的。被加密的文件扩展名通常是.rdm.rrk,中招后弹出提示框如下图所示:ransom-note-part-1

参考文章链接

解密工具原始链接

百度网盘备份链接

CryptInfinite 勒索软件解密工具

简介

CryptInfinite 勒索软件主要是通过加的找工作与高级职位应用程序、和垃圾电子邮件进行传播的。文件被加密之后,文件后缀名会被改成.crypt .pzdc.good 。当电脑重启之后,CryptInfinite便会弹框要求用户支付赎金以赎回文件。CryptInfinite要求用户在弹窗之后24小时内支付赎金,否则文件的解密密钥将会从服务器中被删除,赎金价格为在弹窗之后12小时内需要支付500美金,12小时之后到24小时之内则需要支付1000美金。中招后界面如下图所示:decryptormax

参考文章链接

解密工具原始链接

百度网盘备份链接

CrypBoss 勒索软件解密工具

简介

CrypBoss勒索软件主要是通过受害者访问有危险的Web网站时,通过浏览器漏洞和垃圾电子邮件进行传播的。它能感染win2000~win10之间所有操作系统(包括服务器版本)。运行之后它会删除自己的原始副本,同时会启动一个svchost.exe进程,然后把自己注入进去并运行加密代码。被加密后的文件扩展名会被改成.crypt.R16M011D05。中招后弹窗界面如下图:RANSOM_CRYPBOSS_A4

参考文章链接

解密工具原始链接

百度网盘备份链接

Chimera 勒索软件解密工具

简介

Chimera会使用非对称加密算法来受害者电脑上的数据文件,并且和大多数勒索软件使用暗网服务器的方式不同,Chimera是使用一个叫做Bitmessage的p2p方式进行通讯(Bitmessage是一个去中心化的通讯软件,他能允许你在匿名的情况下传输任何信息给接收者或者从一个发布者那里订阅信息。这一切都是建立在P2P网络上的,也就说没有一个中心服务器可以控制和窥探使用者的行为。),当它对受害者文件进行加密时,会把被加密的文件扩展名改为自己预定义的几种扩展名之一。加密以后会弹窗要求用户支付赎金以赎回文件。中招后弹窗界面如下图所示:chimera-1024x495

参考文章链接

解密工具原始链接

百度网盘备份链接

Shade(xtbl,ytbl) 勒索软件解密工具

简介

被Shade加密后的文件的文件后缀名通常会被改成“.xtbl”“.ytbl”。此勒索软件最早大概爆发于2014年末到2015年初左右。主要在俄罗斯肆虐成灾,在极端时间内便成为俄罗斯第三大威胁的勒索软件,名次仅排在Trojan-Ransom.Win32.CryaklTrojan-Ransom.BAT.Scatter 勒索软件之后(以上两种勒索软件为卡巴斯基命名规则),Trojan-Ransom.Win32.Shade也是卡巴斯基的命名规则,在其它的安全厂商中,该勒索软件又叫做Trojan.Encoder.858Ransom:Win32/Troldesh。该勒索软件除了加密后的文件扩展名没有变化外,其它的功能一直在不停的进化中,包括RSA密钥与C&C 服务器地址。以下分别为中招后弹窗图片以及该勒索软件在世界感染分布图:

shade_en_3shade_en_7

参考文章链接

解密工具原始链接

百度网盘备份链接

BitCryptor 勒索软件解密工具

简介

BitCryptor主要是通过垃圾电子邮件,溢出工具包,和钓鱼下载等方式进行传播。一旦成功侵入系统会使用AES256加密算法对受害者电脑上的数据文件进行加密并且要求受害者66小时内支付1比特币的赎金以赎回文件。被感染后的文件扩展名会被改成.clf。目前该勒索软件会感染所有的Windows操作系统,中招后会弹出如下界面:

bitcryptor-virus

参考文章链接

解密工具原始链接

百度网盘备份链接

PClock2(PClock) 勒索软件解密工具

简介

2013年发现的勒索软件Cryptolocker是近几年威胁最大的勒索软件之一,据报道说该作者传播该勒索软件的前100天内就大概赚了3千万美金,于是毫无疑问瞬间便出现了大量的Cryptolocker的模仿者。在2015年的早期,我们便发现了Cryptolocker的其中一个模仿者叫做PClock,而近期,PClock的升级版PClock2又出现了。PClock2要求用户支付0.5个比特币来赎回被加密的文件。PClock2使用RC4加密算法以及通过随机函数来生成密钥。并且会对2583种文件类型进行加密操作。以下是PClocker2被运行以后弹出的要求支付赎金弹窗:Windows-7-2015-04-08-01-17-53

参考文章链接

解密工具原始链接

百度网盘备份链接

CoinVault(别称Vaultlock) 勒索软件解密工具

简介

CoinVault最早出现于2014年12月份,能危害从XP到win10所有windows系统。属于勒索软件家族CryptoGraphic Locker de 一个分支。目前已有免费的解密工具。和其它勒索软件不同的是,该勒索软件在给受害者解密时并不需要下载另外的解密工具,勒索软件本身就自带解密模块。它使用AES加密算法对文件进行加密,加密后会弹窗要求用户支付赎金,赎金大概是0.7个比特币,如果24小时内不支付的话赎金会进一步上涨。中招后弹出勒索界面如下图所示:coinvault

参考文章链接

解密工具原始链接

百度网盘备份链接

KeyBTC 勒索软件解密工具

简介

KeyBTC和普通勒索软一样,会对受害者的电脑上的文件进行加密,然后要求受害者付款以赎回被加密的文件,KeyBTC主要是通过垃圾电子邮件的方式进行传播,通常会被自己伪装成购物链接,或邮件供应商的管理员邮件等。这些邮件都会包含一个有害的ZIP附件,而且该压缩文件会被伪装成类似Word文档之类。一旦用户打开了就会触发运行附带的JS脚本。该脚本运行之后便会往受害者电脑上下载并安装勒索软件。KeyBTC一旦运行之后便会开始加密文件并把文件后缀名改成KeyBTC@inbox_com”,加密之后会弹框让用户通过联系指定的电子邮箱以赎回被加密的文件,中招后弹窗如下图所示:

read.txt

参考文章链接

解密工具原始链接

百度网盘备份链接

OperationGlobal3 勒索软件解密工具

简介

一旦你的电脑运行了这款勒索软件后,你的电脑就自动锁住直到你支付赎金为止。勒索软件会向受害者要求支付250美金,并且只接受比特币付款。虽然这是目前勒索软件的基本套路,但也正因如此,勒索软件才变得越来越具有威胁性。另外要注意的是,这款勒索软件不仅仅会加密你的文件数据,而且还会同时锁屏直到用户付款。此勒索软件运行后,前台程序会弹出一个框对你的屏幕进行锁屏,同时后台可是加密数据。而且把所有文件的都封装成exe文件。因此一旦你把这些文件拷贝到其它电脑上并且双击的话,它就会感染其它电脑。中招后的界面如下图所示:operation-global-iii-ransomware

参考文章链接

解密工具原始链接

百度网盘备份链接

Scraper(别称Torlocker) 勒索软件解密工具

简介

2014年秋,卡巴斯基的研究人员发现了一款新的勒索软件,TorLocker(TorLocker这个名字是勒索软件作者自己起的),不久以后TorLocker就开始能攻击日本用户了。到2014年10月24日,卡巴的安全产品就可以检测TorLocker了,同时把TorLocker正式命名为“Trojan-Ransom.Win32.Scraper”。所有TorLocker样本都集中在两个版本之间:1.0.1(英文版)和2.0(同时支持英文和日文)。这两个版本不同点为:1、新版本中使用到了代码混淆技术。2、附加模块数据的获取方式不同:在第一个版本中,附加模块是中PE文件的data段中释放出来的,但是在第二版中,附加模块数据是中网络上下载下来的(数据被压缩过,同时是通过本地服务下载下来的)。另外在第二版中有些data段中定义字符串便重新编写放在代码中。同时还会在自身PE文件尾添加附加的垃圾数据(这些数据并没有被实际使用)。但是两个版本的核心加密算法并无实质上的变化。该勒索软件每次会向受害者勒索软300美金来解密用户文件。以下是中招后的图片:Trojan-Ransom_1

参考文章链接

解密工具原始链接

百度网盘备份链接

Torrentlocker 勒索软件解密工具

简介

Torrentlocker会把自己伪装成CryptoLocker,但它实际伪装的名字是Crypt0L0cker。最早出现于2014年8月。受威胁的系统WinXP~Win8。和其它勒索软件一样,在对你的系统各种文件加密完之后会弹出窗口提醒您交付赎金。Torrentlocker的弹出的这个赎金解密完全照搬CryptoLocker的赎金界面,以此伪装自己。被Torrentlocker加密后的文件后缀名为.encrypted 。该勒索软件在加密完用户文档的后,会敲诈$500美金的赎金,若不及时交付的话3天后涨价。加密后弹窗如下图:us-ransom-note

参考文章链接

解密工具原始链接

百度网盘备份链接

Scatter(别称BAT_CrypVault) 勒索软件解密工具

简介

Scatter勒索软件家族已经有了JS脚本变种,而且该脚本变种的加密算法和2014年10月中旬左右的BAT变种的加密算法完全不同。该脚本变种主要是通过电子邮件形式进行传播。而且和一般的勒索软件的加密文件的方式不同的是,该脚本对文件加密分为两个步骤,第一次先加密文件较小的文件类型,这些类型包括:*.xls *.xlsx *.doc*.docx *.cdr *.slddrw *.dwg *.pdf 这些类型的文件加密完了以后才进行第二个步骤加密,本次加密的文件类型包括*.mdb *.1cd *.accdb *.zip *.rar *.max *.cd *.jpg。分两次步骤加密的原因是由于JS脚本相对来说运行速度比较慢,而且使用了RSA加密算法,该算法虽然安全,但是运行的很慢,因此如果一开始就加密大文件的话,就会影响加密速度。所以才分成了两个步骤进行加密。中招后弹框界面如下图:BAT_CRYPVAULT_A_img4

参考文章链接

解密工具原始链接

百度网盘备份链接

CryptoDefense 勒索软件解密工具

简介

CryptoDefense是2014年2月份出现的一款勒索软件。它能危害从WinXP到Win8的所有系统。该勒索软件会往C&C服务器上传加密RSA私钥,还会删除你磁盘上所有的系统备份文件。并且加密你的所有数据,包括文本文件,图片文件,视频文件以及office文档。然后弹框对你进行勒索。第一弹框会要求你支付500美金的等值比特币,超过4天未付款的话则需要支付双倍赎金,即1000美金。中招后弹框如下图所示:how_decrypt-html

参考文章链接

解密工具原始链接

百度网盘备份链接

CryptorBit 勒索软件解密工具

简介

CryptorBit是2013年12月份左右出现的一款勒索软件,会影响从XP到Win10所有Windows操作系统。一旦该勒索软件在电脑上运行 之后,它会加密所有数据文件并把文件扩展名改为一种特定形式。同时会在每个被加密的文件当前目录下生成HowDecrypt.txtHowDecrypt.gif文件。这两个文件会告诉用户如何支付赎金以赎回文件,该勒索软件每次会向受害者索要0.5比特币的赎金。中招后可以看到HowDecrypt.gif文件如下图所示:cryptorbit-virus2

参考文章链接

解密工具原始链接

百度网盘备份链接

Rector 勒索软件解密工具

简介

Rector是较早的勒索软件了,它会加密的文件类型有:.jpg .doc .pdf .rar 加密完后会打开一个文本文件叫做“++KOPPEKTOP++”,里面的内容是告诉受害者想要解密的话通过以下的方式进行联系:ICQ: 557973252481095  EMAIL: v-martjanov@mail.ru 但有时也会留下Web网页链接让用户去访问,如:http://trojan….sooot.cn/   http://malware….66ghz.com/  还有情况是会在桌面下留下以下图片:4264_1_en13-1883164264_2_en13-188317 4264_4_en13-188319

参考文章链接

解密工具原始链接

百度网盘备份链接

Rakhni 勒索软件解密工具

简介

Rakhni勒索软件最早可以追溯到Trojan.Encoder.398,应该是同一个作者写的,后者被发现与于2013年(该年也可视作勒索软件真正进入爆发年份)。但与后者相比,Rakhni勒索软件却有了翻天覆地变化,虽然这还不足以被载入史册。通常的,对Rakhni进行脱壳之后,通过Hiew工具来打开后查看,可以很明显的看到常见的吓唬人标语、电子邮箱地址以及将会加密的文件扩展名类型等。同时也可以根据文件特征判定出该勒索软件是通过Delphi(要确认的话可以直接拖入PEID工具查看即可)来写的。而且从文件尾部也可以判断出该勒索软件使用到了DCPCrypt2加密库模块。截图如下:1445936707_65ce_rakhni

参考文章链接

解密工具原始链接

百度网盘备份链接

Rannoh/Matsnu 勒索后门解密工具

简介

Rannoh(卡巴命名)/Matsnu(其它厂商命名)是后门程序向勒索软件转型时期的产物,因此,它不仅具备一般后门所具有的可以操控用户电脑的特性,而且带有加密/锁屏以此敲诈用户钱财的特性。和普通后门相同的是,Rannoh会通过C&C服务器接受不同的控制指令来实现下载和执行各种文件、包括自我更新等,同时,它也会根据接受到的指令来锁住/解锁用户电脑。一旦运行Rannoh之后,他会把自己添加到每个注册表启动项来保证自我启动,同时还会禁用注册表编辑器和任务管理器。而且会通过修改注册表键值来禁止用户进入到系统的安全模式。系统被锁住后弹出界面如下:trojanrannoh_pic1

参考文章链接

解密工具原始链接

百度网盘备份链接

Harasom 勒索软件解密工具

简介

Harasom会加密你电脑上的大部分数据,并且还会对你的电脑进行锁屏,并且阻止你访问Windows桌面。文件或其它的可执行程序,直到你给勒索软件开发者支付100或300美金为止。该勒索软件加密的文件扩展名主要包括:.ddrw, .pptm, .dotm, .xltx, .text, .docm, .djvu, .potx, .jpeg, .pptx, .sldm, .lnk, .txt, .xlsm, .sldx, .xlsb, .ppam, .xlsx, .ppsm, .ppsx, .docx, .odp, .eml, .ods, .dot, .php, .xla, .pas, .gif, .mpg, .ppt, .bkf, .sda, .mdf, .ico, .dwg, .mbx, .sfx, .mdb, .zip, .xlt中招后弹出界面如下图:everything-on-your-computer-has-been-encrypted-ransomware

参考文章链接

解密工具原始链接

百度网盘备份链接

MBL Advisory(FBI Green Dot Moneypak) 锁屏勒索破解工具

简介

MBL Advisory(又叫FBI Green Dot Moneypak) 是一种严重的网络感染,它与那个被称为联邦调查局(FBI)的政府机构完全没有任何关联。就像FBI Moneypak 或 FBI 病毒一样,它会显示一个警报,然后将计算机封锁,并禁止受害者载入他们的程序或文件。当用户登录的那一刻,其计算机将直接去到Green Dot Moneypak 屏幕,整个系统即被封锁。在大多数情况下,启动至“带有网络的安全模式”或“带命令提示符的安全模式”并不能解决什么。如果你住在美国,你得更加小心,因为受感染的用户大多都住在这个地区。 然而,这个勒索软件的其他版本也在欧洲广为传播。FBI Green Dot Moneypak 病毒会在没有征询同意下,与其他程序或文件一起下载。这些有可能是伪造的视频编解码器、Flash 更新或是其他非官方来源的免费软件。此外,如果你不想感染这个病毒,你应该避免打开垃圾邮件的附件。一旦渗入系统,FBI Green Dot Moneypak 病毒会将桌面的背景以一个巨大的警报取代,这警报看似由美国司法部的一个政府机构发出。这个警报会试图让你相信你已经违反了各种法律,现在将被拘捕,当然,这个警报完全是假的,它与法定机构完全没有关联。如果你的计算机被这些FBI的警告封锁了,你必须明白支付罚款根本不可能将你的计算机解锁,你反而是在支持这个封锁屏幕的人。

参考文章链接

解密工具原始链接

百度网盘备份链接

参考来源:

*转载请注明来自MottoIN,未经允许不得转载!

原创文章,作者:Stbird,如若转载,请注明出处:http://www.mottoin.com/tools/96226.html

发表评论

登录后才能评论

评论列表(2条)

  • euphrat1ca 2017年2月27日 上午9:23

    感谢感谢

  • ndasyyyz 2018年7月7日 下午12:52

    感谢感谢 小编的幸苦,也感谢贵网站,我是2016年3月份 电脑被邻居小孩玩给中了Teslacrypt v3敲诈病毒,照片,视频,文档都被加密改成mp3结尾。一直等网上英雄放解密工具 整整等了两年多 ,终于等到了,再次感谢。

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code