华军科技数据恢复华军科技数据恢复联系我们
4006-759388
浏览量:次 来源:华军科技数据恢复 发布日期:2020-04-13 11:32:49
遇到勒索病毒怎办?那套软件才有机会解密?找Hacker?用数据恢复软体有用吗?>
这篇文章将会仔细全面讲解加密病毒可能性解法.
如果遇到勒索病毒
第一步先断掉实体网路线以防止扩散.
第二步最好作法是先让电脑进入睡眠,或是执行WinDBG Dump 以上是取得所有记忆体DUMP.
如果无法顺利使用软体做记忆体DUMP
只剩下使用Cold Boot或是DMA攻击记忆体DUMP法Link
尽量取得记忆体DUMP后才可关机, 若没有完整记忆体DUMP,想要解密现行勒索病毒非常困难.以下解密软体某些需要有原记忆体完整下执行处理.
整颗硬碟要做全镜像备份.
最后再用另外的OS挂载这备份硬碟做密钥搜索与尝试解密
有些勒索病毒可用解密软体直接解开而无需记忆体Dump,那是因为本机硬碟还保有密钥
下面为原理说明
1.像Satan病毒CryptoAPI进行加密,对称加密的算法是RC,密钥结构如下:
|
1
|
[HardWareID]+k_str1+k_str2+k_str3+[PUBLIC]
|
|
1
2
3
|
k_str1 = “dfsa#@FGDS!dsaKJiewiu*#&*))__=22121kD()@#(*#@#@!DSKL909*(!#!@AA”
k_str2 = “*@#AdJJMLDML#SXAIO98390d&th2nfd%%u2j312&&dsjdAa”
k_str3 = “@!FS#@DSKkop()(290#0^^^2920-((__!#*$gf4SAddAA”
|
Public的大小是0x20,病毒每次加密一个文件时候会生成一个,HardWareID和PUBLIC都会生成在加密档案的末尾
2.本机如果没有保留密钥的话,就必须透过记忆体分析来取得密钥
像WannaCry是用2048 bit RSA key , RSA key基本原理是以二个超大质数相乘
此质数一但破取得RSA密钥就可解密档案
wcry.exe进程。Windows API CryptDestroyKey和CryptReleaseContext在释放之前不会从记忆体中删除质数。就可取得RSA密钥.
这是因为Windows Crypto API在Windows XP ,7 ,2003 ,Vista CryptReleaseContext不清理RSA质数。
而在Windows 10下,CryptReleaseContext会清理记忆体(因此无法用这种方法取得RSA密钥质数)。
以上解密软体都没有用时,使用Raw data recovery软体如Photorec
另外在资料库跟VM部分若下面软体都无法解密,可寻求华军帮助
本文参考自 https://www.nomoreransom.org/zht_Hant/partners.html
趋势万用型解密工具
| 勒索软件 | 文件名和扩展名 |
|---|---|
| 加密XXX V1,V2,V3 * | {原始文件名} .crypt,cryp1,crypz或5个十六进制字符 |
| CryptXXX V4,V5 | {MD5 Hash} .5个十六进制字符 |
| TeslaCrypt V1 ** | {原始档名} .ECC |
| TeslaCrypt V2 ** | {原始档名} .VVV,CCC,ZZZ,AAA,ABC,XYZ |
| TeslaCrypt V3 | {原始档名} .XXX或TTT或MP3或MICRO |
| TeslaCrypt V4 | 文件名和扩展名保持不变 |
| SNSLocker | {原始文件名} .RSNSLocked |
| 自动锁 | {原始文件名} .locky |
| 坏块 | {原始档名} |
| 777 | {原始档名} .777 |
| 骑士 | {原始文件名} .xorist或随机扩展名 |
| 喝酒 | {原始文件名} .crypted |
| CERBER V1 | {10个随机字符} .cerber |
| Stampado | {原始文件名}。已锁定 |
| 内姆科德 | {原始文件名} .crypted |
| 奇美拉 | {原始文件名} .crypt |
| 莱奇夫尔 | {原始文件名} .LeChiffre |
| MirCop | 锁定。{原始文件名} |
| 拼图 | {原始文件名} .random扩展名 |
| 截止/清除 |
V1:{原始文件名} .purge V2:{原始文件名}。{电子邮件地址+随机字符} V3:扩展名不固定或文件名已加密 |
| DXXD | V1:{原始文件名}。{原始扩展名} dxxd |
| Teamxrat / Xpan | V2:{原始文件名}。__xratteamLucked |
| 孤岛危机 | 。{id}。{email address} .xtbl,。{id}。{email address} .crypt,。{id}。{email addres} .dharma,。{id}。{email address} .wallet |
| TeleCrypt | {原始档名} |
| 演示工具 | .demoadc |
| WannaCry(WCRY) |
Wannacry必须在Win 8之前,电脑内还有RSA密钥特定条件下才可解密
下载 以下部分软体已经其实还是用这套只是做笔记上比较好分类
下载
工具由Kaspersky Lab制作
Rakhni解锁工具是设计来解锁由AES_NI勒索软体所加密的档案。
更多资讯请详阅以下内容使用指南 .
下载
工具由Avast制作
AES_NI解锁工具是设计来解锁由AES_NI勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Rakhni解锁工具是设计来解锁由AutoIt勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Rannoh解锁工具是设计来解锁由AutoIt勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Avast制作
Bart解锁工具是设计来解锁由Bart勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Bitdefender制作
Bart解锁工具是设计来解锁由Bart勒索软体所加密的档案。
下载
工具由Kaspersky Lab制作
Rakhni解锁工具是设计来解锁由Chimera勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由Chimera勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Rakhni解锁工具是设计来解锁由CrySIS勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由CrySIS勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Rannoh解锁工具是设计来解锁由CryptXXX V1勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由CryptXXX V1勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Rannoh解锁工具是设计来解锁由CryptXXX V2勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由CryptXXX V2勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Rannoh解锁工具是设计来解锁由CryptXXX V3勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由CryptXXX V3勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由CERT-PL制作
CryptoMix解锁工具是设计来解锁由CryptoMix勒索软体所加密的档案。
下载
工具由Avast制作
CryptoMix解锁工具是设计来解锁由CryptoMix勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Check Point制作
Jigsaw解锁工具是设计来解锁由Jigsaw勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由Jigsaw勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
MacRansom解锁工具是设计来解锁由MacRansom勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
MacRansom解密仅支持以下内容:
Microsoft Office文档(.docx,.xlsx,.pptx)
–页面文档(.pages)
–数字文档(.numbers)
–主题文档(.key)
下载
工具由Emsisoft制作
Merry X-Mas解锁工具是设计来解锁由Merry X-Mas勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Check Point制作
Merry X-Mas解锁工具是设计来解锁由Merry X-Mas勒索软体所加密的档案。
下载
工具由CERT-PL制作
Mole解锁工具是设计来解锁由Mole勒索软体所加密的档案。
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由Nemucod勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Emsisoft制作
Nemucod 解锁工具是设计来解锁由Nemucod勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Elevenpaths制作
Popcorn解锁工具是设计来解锁由Popcorn勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
该zip文件使用密码“ elevenpaths”加密。
下载
工具由Kaspersky Lab制作
Shade解锁工具是设计来解锁由Shade勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
解密具有以下扩展名的文件:.xtbl,.ytbl,.breaking_bad,.heisenberg。
下载
工具由Intel Security制作
Shade解锁工具是设计来解锁由Shade勒索软体所加密的档案。
解密具有以下扩展名的文件:.xtbl,.ytbl,.breaking_bad,.heisenberg。
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由Stampado勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Emsisoft制作
Stampado解锁工具是设计来解锁由Stampado勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Rakhni解锁工具是设计来解锁由TeslaCrypt V3勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Intel Security制作
TeslaCrypt v3 and v4解锁工具是设计来解锁由TeslaCrypt V3勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由TeslaCrypt V3勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Rakhni解锁工具是设计来解锁由TeslaCrypt V4勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Intel Security制作
TeslaCrypt v3 and v4解锁工具是设计来解锁由TeslaCrypt V4勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由TeslaCrypt V4勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Kaspersky Lab制作
Wildfire解锁工具是设计来解锁由Wildfire勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Intel Security制作
Wildfire解锁工具是设计来解锁由Wildfire勒索软体所加密的档案。
下载
工具由Trend Micro制作
Trend Micro Ransomware解锁工具是设计来解锁由XORIST勒索软体所加密的档案。
更多资讯请详阅以下内容 使用指南 .
下载
工具由Emsisoft制作
下载
工具由Emsisoft制作
