跳到主要內容

卡巴斯基提供被CoinVault或Bitcryptor勒索的解密工具,解密金鑰超過14000個

勒索程式(ransomware),是一種惡意軟體,會將本機或網路磁碟的檔案加密,並要求支付贖款以取得解密金鑰,將加密的檔案還原,不然檔案就永遠都不能用了。
卡巴斯基與國外警方合作,9月逮捕了相關勒索程式的作者,也讓卡巴斯基取得駭客伺服器內的解密金鑰。
取得的解密金鑰總計超過14000個,已全部加入卡巴斯基的解密程式的資料庫中,並且提供解密工具。
所以如果有被CoinVault或Bitcryptor勒索的使用者,可以免費下載解密工具並試著將被加密的檔案還原。
但是如果是其他的勒索程式,也可以碰碰運氣,不過這都是事後的解救方法,也不能保證百分一百可以還原。
所以重點還是不要隨意開啟不明的程式及重要檔案要勤於備份,才是上上之策。

解密步驟說明:https://noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf
此PDF為英文檔,大致上是有六個步驟,做法依序是:
步驟1:檢查是否被CoinVault或Bitcryptor勒索,如下圖:


步驟2:下載卡巴斯基防毒試用版清除惡意程式

步驟3:下載解密工具,點「DOWNLOAD」來下載:https://noransom.kaspersky.com/

步驟4:
將解密工具開啟,按下「Start scan」,它會去找一個名為「filelist.cvlst」的檔案,這個檔案是由勒索程式產生的,如果找不到這個檔案,則進入步驟5,否則進入步驟6。

步驟5:
如果找不到「filelist.cvlst」的檔案,則將所有被加密的檔案全部移到一個新的資料夾,並且按下工具的「Change Parameters」,

選擇「Folder with encrypted files」,再重按「Start scan」

這次會出現提示的視窗,選擇「Continue」,再選擇新的資料夾位置


步驟6:
解密工具會將filelist.cvlst或是指定的資料夾內的加密檔案解密,預設的情況下解密工具不會覆蓋被加密的檔案,而是產生另一個解密的檔案,如test.doc會變成test.decryptedKLR.doc,
如果不想保留加密檔案或不想讓工具重新命名檔案,可以選擇「Change Parameters」,並將「Replace encrypted files with decrypted ones」打勾



iThome的報導:
http://www.ithome.com.tw/news/99668

留言

這個網誌中的熱門文章

Line如何換行

在電腦版的Line輸入文字時,遇到需要換行的情形時,我都是用記事本先寫好再複製上去,這樣就可以有換行的效果,可是這樣的做法好像失去Line的便利性。 於是查了一下,原來有一個設定可以指定Enter換行,而不是發訊息出去。 完成設定之後,要發送訊息就改用Alt+Enter,而Enter就可以換行了。

在Windows下,利用tasklist與taskkill來刪除Process

Windows7 / Windows8 kill process Linux下要刪除某個程序通常會使用 ps 配合 kill 來刪除程序。 例如:ps -ef |grep [PROCESS NAME]       kill -9 [PID] 在Windows下,通常是開啟工作管理員來強制結束應用程式,但是如果要寫成Script,就必須改為命令式。 TASKLIST [/S system [/U username [/P [password]]]]          [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]           TASKKILL [/S system [/U username [/P [password]]]]          { [/FI filter] [/PID processid | /IM imagename] } [/T] [/F]           (Tasklist:查詢Process ; Taskkill:刪除Process)           例如要刪除已開啟的記事本(notepad): 1、查詢記事本的Process訊息     C:\> tasklist |find /i "notepad.exe"     notepad.exe      6092 Console     1     5,832 K 2、由上得知記事本的PID為6092     C:\> taskkill /f /PID 6092     成功:處理程序 PID 6092 已經終止了。     taskkill使用的參數     /f:指定此參數可強制終止處理程序     /PID:指定要終止之處理程序的 PID      3、也可以直接以程式名稱刪除     C:\ taskkill /f /im notepad.exe     成功:處理程序 "notepad.exe" <PID 6092> 已經終止了      下面是我自己測試的Script,可以刪除多個相同的程式,例如同時開啟了三個記事本: @echo off for /f &quo

Shell Script簡易教學

一、概論 在許多的情況之下,我們都需要固定一組可以重覆或判斷資訊的指令, 而把這些指令存被在文字檔中,再交由Shell執行,就是Script。 一般會將Shell Script的副檔名命名為.sh,雖然副檔名在Linux中並非必要, 但是有副檔名可以讓我們更容易管理這些檔案。 假設有一個名為test.sh 的 Shell Script,首先用文字編輯器來撰寫內容如下: #!/bin/bash echo Hello World 第一行是必需的,它是用來定義你要使用的 shell。Linux中有許多的Shell可以使用, 如:ksh、bash,但是彼此之間語法有所差異,所以我們首先需要定義使用哪一個Shell。 而第二行的 echo 代表列出一個字串,預設會把後面的字串「Hello World」顯示在螢幕上。 將test.sh存檔後,可以用下列其中一種方式執行它: 1、直接輸入 sh test.sh 2、改變test.sh的權限,加上可以執行的權限,    chmod a+x test.sh    接著直接執行它:    ./test.sh 在Shell Script中,「#」表示註解,在#後面將視為註解並且被程式忽略。 例如: #pwd ls -l Shell只會執行ls -l,而不會執行ls -l 而「;」 則代表指令的分隔,例如: pwd;ls -l 和 pwd ls -l 都是一樣執行pwd及ls -l。 二、變數的使用 在Shell Script中,所有的變數都視為字串,因此不需要在定義變數類型。 在Shell中定義和使用變數時並不一樣。 例如,定義一個變數id並且設定值為2013001,接著還要將印出變數的值: id=2013001 -> 定義變數時前面不加「$」符號 echo $id   -> 使用變數時前面要加「$」符號 注意,在等號的二邊不可以有空白,否則將出現錯誤。 再介紹一個範例: dir=/home/oracle ls $dir 這裡我們定義了變數dir的值為/home/oracle,接著用ls指令來印出變數dir, 此時指令會變為ls /home/oracle,所以就把目錄中所有檔案都列出來。 我們再來看一個例子,說明如何使用變數來定義