勒索软件解密工具大全

文章共62个勒索软件解密工具,篇幅比较长,可直接使用Ctrl+F检索勒索软件的名字或关键字进行查找。

前言

在这里我们几乎收集了所有已经发布的勒索软件解密工具,并且会依然持续不断的收集更新。但依然不能保证一定能解开您被加密的数据。解密工具能被开发出来,是因为勒索软件作者水平太差,导致在加密过程中密钥泄露。但随着勒索软件作者水平的不断提高,今后开发解密工具将会越来越困难。我们建议您在中了勒索软件之后,如果被加密的数据非常紧急重要(例如财务数据、程序代码之类),试了解密工具解不开后,可以考虑选择交赎金(虽然交赎金也不一定能保证您找回数据),而如果被加密的是一些不常用的照片、视频之类的话,可以选择等待,随着时间的推移,密钥有可能被放出。您需要注意的是,一旦中了勒索软件之后,您就陷入了极其被动的境况,没有人可以保证一定能解开您被加密的文件(包括勒索软件作者自己,一方面密钥有可能在传输过程中丢失掉,另一方面有些勒索软件使用的是有损加密或直接破坏性写入,导致加密数据无法解密),数据只有在自己手中才是安全的!话虽如此,但如果您已经中了勒索软件,依然可以通过下面的工具来试试运气。

ToolsHead

如您还不知道自己种的哪款勒索软件可以通过这个网址来判断: id-ransomware

工具列表

Damage勒索软件解密工具

Damage是用Delphi写的勒索软件。它使用SHA-1和Blowfish的组合来加密文件的第一个和最后一个8 kb。加密文件的扩展名为“.damage”,赎金注释名为“ damage@india.com []。txt”,请联系“ damage@india.com”。赎金便笺包含以下消息:

/ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
================================================ ================================================== ================================================== ========================
SECRET_KEY结束
要恢复您的文件 – 发送电子邮件至damage@india.com

要使用解密器,您将需要一个加密的文件及其未加密的版本。请选择加密和未加密的文件,并将它们拖放到解密器可执行文件中。

参考文章链接

解密工具原始链接

百度网盘备份链接

CryptON勒索软件解密工具

CryptON aka Nemesis aka X3M是一个勒索软件家族,主要用于通过RDP的targetted攻击。文件使用RSA,AES-256和SHA-256混合加密。CryptON使用了以下扩展:

.id-_locked
.id-_locked_by_krec
.id-_locked_by_perfect
.id-_x3m
.id-_r9oj
.id-_garryweber@protonmail.ch
.id-_steaveiwalker@india.com_
.id-_julia.crown@india.com_
.id-_tom.cruz@india.com_
.id-_CarlosBoltehero@india.com_
.id-_maria.lopez1@india.com_

nemesis_ransomnote X3M_ransomnote

要使用解密器,您需要一个大小至少为128 KB的加密文件及其未加密的版本。要启动解密器,请选择加密和未加密的文件,并将它们拖放到解密器可执行文件中。

crypton-decryptor

参考文章链接

解密工具原始链接

百度网盘备份链接

MRCR(Merry X-Mas)勒索软件解密工具

MRCR或Merry X-Mas是去年12月首次出现的勒索软件系列。它是用Delphi编写的,并使用自定义加密算法。加密文件将具有“.PEGS1”,“.MRCR1”,“.RARE1”,“.MERRY”或“.RMCM1”作为扩展名。赎金记录命名为“YOUR_FILES_ARE_DEAD.HTA”或“MERRY_I_LOVE_YOU_BRUCE.HTA”,并要求受害者通过安全移动信使电报联系“ comodosec@yandex.ru”或“comodosecurity”。

QQ图片20170313163904

要启动解密过程,您将需要一个由加密文件和同一文件的非加密版本组成的文件对。文件大小必须介于64 KB和100 MB之间。选择两者并将其拖放到解密器可执行文件以启动进程。

参考文章链接

解密工具原始链接

百度网盘备份链接

Marlboro勒索软件解密工具

Marlboro勒索软件是2017年1月11日出现的。它是用C ++编写,并使用一个简单的基于XOR的加密算法。加密文件重命名为“.oops”。赎金便笺存储在名为“_HELP_Recover_Files_.html”的文件中,不包含其他联系人。

由于恶意软件的代码中的错误,恶意软件将截断到加密文件的最后7个字节。不幸的是,解密器不可能重构这些字节。QQ图片20170313164145

要使用解密器,您将需要一个大小至少为640字节的加密文件及其未加密的版本。要启动解密器,请选择加密和未加密的文件,并将它们拖放到解密器可执行文件中。

参考文章链接

解密工具原始链接

百度网盘备份链接

Globe3勒索软件解密工具

Globe3是我们首次在2017年初发现的勒索软件工具包。Globe3使用AES-256加密文件和可选的文件名。由于加密文件的扩展是可配置的,因此可以进行几种不同的文件扩展。最常用的扩展名是.decrypt2017.hnumkhotep。要使用解密器,您将需要一个包含加密文件及其未加密原始版本的文件对。选择加密和未加密文件,并将它们拖放到下载目录中的解密器文件中。如果文件名加密,请使用文件大小确定正确的文件。对于大于64 kb的文件,加密文件和原始文件将具有相同的大小。

QQ图片20170313164431

由于勒索软件中的错误,小于64 kb的解密文件将比原始文件大15个字节。此文件大小增加是由于勒索软件将文件大小向上舍入到下一个16字节边界,而不保存原始文件大小。对于大多数文件格式,这不太可能导致问题。但是,如果您的应用程序抱怨损坏的文件格式,您可能必须使用十六进制编辑器手动删除文件末尾的尾部零字节。

参考文章链接

解密工具原始链接

百度网盘备份链接

OpenToYou勒索软件解密工具

OpenToDecrypt是一个用Delphi编程语言编写的勒索软件,它使用RC4加密算法加密您的文件。加密的文件被重命名为* .-opentoyou@india.com和一个名为“!!!。txt”的赎金备注可以在您的桌面上找到。赎金note包含以下文本:

您的文件已加密!
解密写电子邮件 – opentoyou@india.com
识别密钥 – 5E1C0884

OpenToYou-Ransom-Note-730x424

参考文章链接

解密工具原始链接

百度网盘备份链接

GlobeImposter勒索软件解密工具

GlobeImposter勒索软件是Globe的一个复制品,借用了Globe的勒索信件、文件后缀名、包括基本的外观和感觉。加密文件的扩展名为* .crypt,文件的基本名称不变。赎金注释命名为“HOW_OPEN_FILES.hta”,可以在包含加密文件的所有文件夹中找到。

YDB5$EN24D6{)8UML~PF60B

要启动解密,您需要将一个被加密文件和同一文件的非加密版本组成的文件比对。选择两者并将其拖放到解密器二进制文件来启动该过程。

参考文章链接

解密工具原始链接

百度网盘备份链接

 

卡巴斯基出品的综合性解密工具

简介

卡巴斯基出品了两款综合性解密工具,能解多款勒索软件加密的文件。但有些是您需要注意的是:

卡巴对勒索软件命名和欧美的那些安全厂商不同,有自己的独特的一套命名方式,这种命名格式有优点也有缺点,欧美厂商通常以勒索软件一些常见的特征为勒索软件命名,优点是你只要看到名字就能迅速反映过来是那款勒索软件。缺点是,由于勒索软件版本更新,有些常见的特征会变掉,因此就容易出现同一个勒索软件(核心加密原理相同)但是有多个命名的情况。卡巴的则倾向于取一些勒索软件的中的不常见的关键特征作为名字,好处是这些关键特征基本不会被改,因此可以很容易的定位出属于哪个家族的。缺点是关键特征不一定是常见特征,因此可能你看到这些特征还是很难反映到底指的是哪一款勒索软件。另外还有的就是地区性的问题,卡巴大部分解密工具解的勒索软件都是在俄语国家中流行的。

这些是需要使用者注意的。两款解密工具介绍如下:

第一款工具RannohDecryptor 可解7种勒索软件,7款勒索软件如下:

  • Trojan-Ransom.Win32.Polyglot
  • Trojan-Ransom.Win32.Rannoh
  • Trojan-Ransom.Win32.AutoIt
  • Trojan-Ransom.Win32.Fury
  • Trojan-Ransom.Win32.Crybola
  • Trojan-Ransom.Win32.Cryakl
  • Trojan-Ransom.Win32.CryptXXX (目前能解版本1、版本2,版本3)

第二款工具RakhniDecryptor 可解15种勒索软件(包括一款安卓下的勒索软件),15款勒索软件如下:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.AndroidOS.Pletor (安卓下的勒索软件)
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman (Bitman就是TeslaCrypt)
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Crusis

工具使用流程如下:

viruses_10556_0113-214761

viruses_10556_0213-214764

viruses_10556_0313-214765

viruses_10556_0413-214768

viruses_10556_0513-214770

参考文章链接

解密工具原始链接

百度网盘备份链接

趋势科技出品的综合性解密工具(可解24种勒索软件)

简介

RansomwareFileDecryptor是趋势科技出品的一款勒索软件综合性解密工具,目前可以解密24款勒索软件加密后的文件。使用时要注意先正确选择解密的勒索软件。选好后再开始解密。该工具目前支持解密的勒索软件如下表所示:

ToolsDetail

操作界面如下图:

AntiRansomware

原链接地址

解密工具原始链接

百度网盘备份链接

NMoreira(别称XRatTeam或XPan) 勒索软件解密工具

简介

NMoreira勒索软件又称为XRatTeam或XPan。它是与XRat团队和AiraCrop有一定关联。该勒索软件使用非对称加密算法(高强度,但加密速度慢),在加密过程中,NMoreira会把被加密文件的扩展名改为*.maktub*.__AiraCropEncrypted! 。成功加密后,勒索软件会在受害者桌面上创建一个文件叫"Recupere seus arquivos. Leia-me!.txt"用以向用户要求支付赎金,该勒索软件每次会向受害者勒索0.5比特币,同时留下电子邮箱"contatomaktub@email.tg"让用户与之联系以确认赎金已交付,中招后如下图所示:

nmoreira-homepage

参考文章链接

解密工具原始链接:

百度网盘备份链接:

OzozaLocker 勒索软件解密工具

简介

OzozaLocker对受害者文件进行加密后会把文件后缀名改为".locked",然后会受害者桌面上创建”HOW TO DECRYPT YOU FILES.txt”  文件,文件内容就是让用户通过联系电子箱santa_helper@protonmail.com,同时支付1比特币以赎回被加密的文件。被该勒索软件加密后的文件与原来相比会多出510个字节。中招后文件如下图所示:

ozozalocker-folder参考文章链接

解密工具原始链接

百度网盘备份链接

Rotor 勒索软件解密工具

简介

Rotor勒索软件会加密受害者电脑上的数据文件,在加密过程中,会把原文件的扩展名改为“!____GLOK9200@gmall.com____.tar”"!____cocoslim98@gmail.com___!"。和其它勒索软件不同的是该勒索软件加密完之后并不会弹窗或创建文本文档要求用户支付赎金,用户只有联系上面被加密文件的扩展名邮箱后,才会收到需要支付多少赎金以及如何解密等信息。该勒索软件解密赎金大概是7比特币。与勒索软件邮箱联系后收到邮件信息如下图所示:

rotor-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

Al-Namrood 勒索软件解密工具

简介

Al-Namrood勒索软件可以为视为Apocalypse勒索软件的一个分支。当服务器远程桌面连接时Al-Namrood还可以对远程服务器进行攻击。该勒索软件加密文件后会把文件扩展名改为*.unavailable*.disappeared,同时会在被加密的文件夹下生成*.Read_Me.Txt,该勒索软件会要求受害者联系电子邮箱"decryptioncompany@inbox.ru""fabianwosar@inbox.ru"。并且通常会要求用户支付500美金赎金。中招后文件如下图所示:
alnamrood-folder

参考文章链接

解密工具原始链接

百度网盘备份链接

FenixLocker 勒索软件解密工具

简介

FenixLocker是一款使用AES加密算法的勒索软件。在加密过程中,该勒索软件会把被加密文件的扩展名改为.centrumfr@india.com  加密以后会在用户桌面上生成"Help to decrypt.txt" "Cryptolocker.txt"  文件要求用户交付赎金。勒索软件大概会要求受害者支付0.5~1.5不等的比特币赎金以赎回被加密文件。该勒索软件的传播方式主要是通过P2P网络,免费软件的更新工具包,恶意电子邮件和木马的方式进行传播。文件被加密后结果如下图所示:fenixlocker-folder

 

参考文章链接

解密工具原始链接

百度网盘备份链接

Crypt0 勒索软件解密工具

简介

Crypt0和其它勒索软件一样会加密你电脑上的大部分数据,在加密过程中会把加密后的文件名中加入"_crypt0"字符。例如”aaa.jpg”被加密以后会变成”aaa_crypt0.jpg”。加密完成后会在受害者桌面上生成一个文本文件,名字叫做"HELP_DECRYPT.txt"。该文件内容就是让受害者通过电子邮件联系"findImaf@gmail.com",并且大概需要赎金0.5~1.5比特币以赎回自己被加密的文件,同时该勒索软件作者宣称使用了非对称加密技术对文件进行加密。但是幸运的是Micheal Gillespie写出的破解工具。中招后解密如下图所示:crypt0-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

KawaiiLocker 勒索软件解密工具

简介

KawaiiLocker勒索软件主要在俄罗斯本土以及其它说俄语的国家肆虐。该勒索软件会向每个受害用户要求支付6000卢布的赎金(按目前汇率大概相当于100美金左右),KawaiiLocker和其它勒索软件相比威胁相对来说较小,一旦用户支付赎金就会对文件进行解密。但还是一些区别就是。该勒索软件会把自己加密过的文件名都放在一张叫做“crypt_list”的表里头,解密时是就根据这张表中的名单来解密。而且KawaiiLocker并不会更改自己加密过后的文件后缀名。中招后弹出界面如下图:

KawaiiLocker-Ransomware

参考文章链接

解密工具原始链接

百度网盘备份链接

Philadelphia(新版Stampado) 勒索软件解密工具

简介

有个叫做Rainmaker的勒索软件开发者开发出了新版Stampado,并起名叫做Philadelphia,售价400美金。据Rainmaker宣称,Philadelphia给想要从事勒索黑产的新手或小白提供了一个廉价的解决方案。只要400美金就可以随心所欲的定制出自己想要的勒索软件了。但是通过仔细分析,可以知道这不过是Philadelphia给自己打的一次广告而已。因为该勒索软件是通过AutoIT脚本语言编写而成,这就决定了它很容易被反编译即分析出其中的弱点,果不其然,不久之后Emisoft研究人员Fabian Wasar就找到其中弱点,并写出了解密算法。以下分别是Philadelphia运行之后弹出的锁屏界面,以及定制Philadelphia勒索软件的工具界面。lockerphiladelphia-headquarters-application

参考文章链接

解密工具原始链接

百度网盘备份链接

Fabian 勒索软件解密工具

简介

这个就有点搞笑了,Fabian勒索软件是这样子的。Fabian 是Emsisoft恶意威胁研究实验室的CTO。他在这几年写了大量的勒索软件解密工具。因此勒索软件作者实在受不了了,于是写了款勒索软件取名叫Fabian勒索软件企图黑他。由代码风格可加密算法可以推断出应该是Apocalypse作者干的。他把创建勒索软件的窗口标题特地改为了“Fabiansomware”,另外互斥量名次也同时被改为了"Local\Fabiansomware"。当然真正的Fabian看到以后也是哭笑不得,但还是很快推出了Fabiansomware的解密工具。因此该勒索软件其实相当于Apocalypse的一个变种,如果你中了Apocalypse无法解密的话,也可以试试这个解密工具。窗口标题和互斥名次改名分析证据如下图:slack-imgs.com_

参考文章链接

解密工具原始链接

百度网盘备份链接

Globe(Globe2) 勒索家族软件解密工具

简介

Globe勒索软件家族是Pokenmon和Mr.Robot(两个假名)在16年8月份开发出来的勒索软件加密开发包,其它的黑客可以基于此开发包进行二次开发。此开发包默认是会把被加密的文件名后缀名改成.purge .globe.okean 。但是二次开发的勒索软件作者可以随意更改这个名字。16年10月出该勒索软件加密算法被破解,于是勒索软件作者进行了二次开发,放出了Globe2,它增加的RC4加密算法,并且每次文件被加密后后缀名变成.raid10, .blt, .globe, .encrypted and .[mia.kokers@aol.com],中招后弹出界面如下图:

Taken from BleepingComputer.com
Taken from BleepingComputer.com

参考文章链接

解密工具原始链接

百度网盘备份链接

Wildfire 勒索软件解密工具

简介

Wildfire通过精心构造的垃圾邮件进行传播。一情况下,一封典型的垃圾邮件会包含一个转发者失败的递送请求包,这样接受者就会根据要求填写新的约定递送请求表。此时它就把自己的包填写进去。这样就会被目标邮箱所下载。在这里有三点值得注意:1、攻击者注册了一个荷兰域名过去这种情况并不常见。2、垃圾邮件是从荷兰发出来的。3、他们真的把地址信息写在了电子邮邮件里头。这些情况很少见,会导致普通用户很难判断其实这些邮件并不是初次就发送与起始邮箱。这款勒索软件使用AES cbc的加密方式加密受害者文件,加密后会弹窗要求用户支付299美金或欧元以赎回文件,中招后弹框如下图所示:wildfire

参考文章链接

解密工具原始链接

百度网盘备份链接

Stampado 勒索软件解密工具

简介

Stampado之所以被发现是因为它的开发制作工具在暗网中以39美金的进行廉价促销。现实生活中没有拿到真正的样本来源,我们拿到该样本也是从VirusTotal上找到的,但目前还无法确认这些样本究竟是其它安全公司分享出来的还是说勒索软件作者自己测试时样本不小心被安全软件自动抓取到的。我们目前所知道的是,该勒索软件有着完善的函数功能并且是通过AutoIt 脚本语言编写而成。当然运行以后,会使用AES加密算法来加密用户文件,然后会弹框要求用户支付赎金。而且该勒索软件还继承JigSaw相似的功能,那就是不仅加密文件,而且每隔一小时都会删除相应数量的文件直到用户付款为止。而且同时还会锁住用户界面。以下是付款提示界面和时限删除被加密界面(仿JigSaw):stampadostampado-jigsaw

参考文章链接

解密工具原始链接

百度网盘备份链接

BitStak 勒索软件解密工具

简介

BitStak会加密你电脑上的所有的数据文件,在加密过程中会把文件名改成11个左右随机字符然后再加上”.bitstack”,例如”aaa.jpg”文件被加密之后可能就会变成"ASdeeTgf.gfa.bitstack"。同时每个被加密的文件命名都不相同。在加密完成后,BitStak会对受害者电脑进行锁屏,然后弹出要求受害者支付大概40欧元的赎金以解密文件。中招后弹出勒索界面如下图所示:

bitstak-homepage

参考文章链接

解密工具原始链接

百度网盘备份链接

Unlock92 勒索软件解密工具

简介

Unlock92和勒索软件Kozy.Jozy的作者是同一人,后者最早出现于2016年6月下旬左右。在Kozy.Jozy出现后大概一个礼拜左右,Unlock92就出现了,可视作Kozy.Jozy勒索软件的一个变种。Unlock92最早是由Malwarebyte安全研究者在2016年6月30号左右发现的。Kozy.Jozy刚出现时用了RSA-2048强加密算法,因此紧跟着很多安全研究者就开始寻找如何针对其编写漏洞进行破解,Kozy.Jozy作者知道后,就根据Kozy.Jozy的基础代码进行二次开发,一个礼拜后Unlock92就出现了,它修复了Kozy.Jozy勒索软件的一些算法漏洞。最初的Unlock92对文件进行加密后会把文件后缀名改为CRRRT。Unlock92也是第一款会用俄文语音提醒用户交赎金的勒索软件,中招后提醒交赎金的界面如下图:CmMHi_DWgAAxVLa

参考文章链接

解密工具原始链接

百度网盘备份链接

Bart 勒索软件解密工具

简介

在Nercurs僵尸网络回归并主要致力传播Locky勒索软件的传播之后,安全专家们开始注意到一款新的通过僵尸网络传播垃圾电子邮件的勒索软件Bart。之所以叫Bart,因为每个被该勒索软件加密后的文件扩展名都会带上Bart关键字。但还是可以看出它与Locky勒索软件应该是一对老伙伴了。因为和Locky勒索软件相似之处他们几乎完全一样,而且研究者认为已经有很强的证据可以证明二者的关系并建议网络刑事组织就Bart勒索软件展开调查。Bart加密方式使用了Zip加密压缩包的算法(这些算法都是开源的,拿来就能用),并且发垃圾邮件中的附件中带有JS脚本(Locy也是JS脚本做初次下载),该脚本会先下载执行臭名昭著下载者成为RockLoader。而Locky勒索软件也是用了这个下载模块。加密之后会弹窗向受害者勒索软件3个比特币的赎金,中招之后弹出勒索解密如下图:bart-2

参考文章链接

解密工具原始链接

百度网盘备份链接

LeChiffre 勒索软件解密工具

简介

在2015年6月左右BleepingComputer论坛就发现有人反映中了LeChiffre勒索软件。但直到最近之前都一直无法拿到该勒索软件的样本,这是因为LeChiffre软件的传播方式与以往的普通威胁,如下载者、Web溢出、或者电子邮箱等传播方式都不同,LeChiffre只提供手动安装的功能。因此它的运行场景通常是在一个黑客黑了别人的服务器之后,通过远程桌面登录或者telnet等方式登录目标服务器后,把LeChiffre上传上去然后进行手动安装。然后要服务器拥有者支付一定赎金来赎回被加密的文件。而黑客一旦手工运行完LeChiffre对服务器数据进行加密之后,都会在手动的把残留文件全部删除,因此就无法找到样本。每个被加密的文件后缀名都会被改成.lechiffre 并且在被加密的文件目录下都会生成一个_How to decrypt LeChiffre files.html 的文件。