跳到主要內容

卡巴斯基提供被CoinVault或Bitcryptor勒索的解密工具,解密金鑰超過14000個

勒索程式(ransomware),是一種惡意軟體,會將本機或網路磁碟的檔案加密,並要求支付贖款以取得解密金鑰,將加密的檔案還原,不然檔案就永遠都不能用了。
卡巴斯基與國外警方合作,9月逮捕了相關勒索程式的作者,也讓卡巴斯基取得駭客伺服器內的解密金鑰。
取得的解密金鑰總計超過14000個,已全部加入卡巴斯基的解密程式的資料庫中,並且提供解密工具。
所以如果有被CoinVault或Bitcryptor勒索的使用者,可以免費下載解密工具並試著將被加密的檔案還原。
但是如果是其他的勒索程式,也可以碰碰運氣,不過這都是事後的解救方法,也不能保證百分一百可以還原。
所以重點還是不要隨意開啟不明的程式及重要檔案要勤於備份,才是上上之策。

解密步驟說明:https://noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf
此PDF為英文檔,大致上是有六個步驟,做法依序是:
步驟1:檢查是否被CoinVault或Bitcryptor勒索,如下圖:


步驟2:下載卡巴斯基防毒試用版清除惡意程式

步驟3:下載解密工具,點「DOWNLOAD」來下載:https://noransom.kaspersky.com/

步驟4:
將解密工具開啟,按下「Start scan」,它會去找一個名為「filelist.cvlst」的檔案,這個檔案是由勒索程式產生的,如果找不到這個檔案,則進入步驟5,否則進入步驟6。

步驟5:
如果找不到「filelist.cvlst」的檔案,則將所有被加密的檔案全部移到一個新的資料夾,並且按下工具的「Change Parameters」,

選擇「Folder with encrypted files」,再重按「Start scan」

這次會出現提示的視窗,選擇「Continue」,再選擇新的資料夾位置


步驟6:
解密工具會將filelist.cvlst或是指定的資料夾內的加密檔案解密,預設的情況下解密工具不會覆蓋被加密的檔案,而是產生另一個解密的檔案,如test.doc會變成test.decryptedKLR.doc,
如果不想保留加密檔案或不想讓工具重新命名檔案,可以選擇「Change Parameters」,並將「Replace encrypted files with decrypted ones」打勾



iThome的報導:
http://www.ithome.com.tw/news/99668

這個網誌中的熱門文章

Line如何換行

在電腦版的Line輸入文字時,遇到需要換行的情形時,我都是用記事本先寫好再複製上去,這樣就可以有換行的效果,可是這樣的做法好像失去Line的便利性。 於是查了一下,原來有一個設定可以指定Enter換行,而不是發訊息出去。 完成設定之後,要發送訊息就改用Alt+Enter,而Enter就可以換行了。

在Windows下,利用tasklist與taskkill來刪除Process

Windows7 / Windows8 kill process Linux下要刪除某個程序通常會使用 ps 配合 kill 來刪除程序。 例如:ps -ef |grep [PROCESS NAME]       kill -9 [PID] 在Windows下,通常是開啟工作管理員來強制結束應用程式,但是如果要寫成Script,就必須改為命令式。 TASKLIST [/S system [/U username [/P [password]]]]          [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]           TASKKILL [/S system [/U username [/P [password]]]]          { [/FI filter] [/PID processid | /IM imagename] } [/T] [/F]           (Tasklist:查詢Process ; Taskkill:刪除Process)           例如要刪除已開啟的記事本(notepad): 1、查詢記事本的Process訊息     C:\> tasklist |find /i "notepad.exe"     notepad.exe      6092 Console     1     5,832 K 2、由上得知記事本的PID為6092     C:\> taskkill /f /PID 6092     成功:處理程序 PID 6092 已經終止了。     taskkill使用的參數     /f:指定此參數可強制終止處理程序     /PID:指定要終止之處理程序的 PID      3、也可以直接以程式名稱刪除     C:\ taskkill /f /im notepad.exe     成功:處理程序 "notepad.exe" <PID 6092> 已經終止了      下面是我自己測試的Script,可以刪除多個相同的程式,例如同時開啟了三個記事本: @echo off for /f &quo

Win 10 工作排程無法執行bat批次檔

利用Win 10的工作排程器來設定每日自動執行的批次檔,單獨執行批次檔沒問題,但是放在排程上就是無法執行。 後來試了幾種網路上提供的方式,其注意的事項如下: 1、在「安全性選項」選擇「只有使用者登入時才執行」並取消「以最高權限執行」。 2、在「設定」中選擇「Windows 10」 3、批次檔內的執行檔需以完整的路徑執行,或設定PATH路徑。 3、批次檔中如果帶有中文的路徑,則文字編碼類型必需是ANSI碼,       我的批次檔一開始就是UTF-8碼,但是單獨執行沒有問題,排程上就是有問題,       最後在批次檔中加入暫停指令pause才發現的。 4、如果想選擇「不論使用者登入與否均執行」,則在「設定」必須選擇「Windows Server 2003、Windows XP或Windows 2000」,    但是上述的選項只有在新增工作程程時才會出現,原有的工作排程是不會有此選項