1. 簡介
加密勒索軟體Ransomware為一種透過資料加密手法讓受害者失去資料存取或系統的控制的惡意程式,且如不支付贖金給犯罪組織,則將無法取回受加密的資料。因犯罪組織利用這種不法模式獲利,也是其被稱為「勒索軟體」的原因。
現今的勒索軟體精密複雜且侵入性強大,透過發展各種攻擊手段與支援多國語言、跨平台等方式感染受害者設備。目前防毒軟體廠商對於部分勒索軟體已有可應對的免費解密工具,如不慎受到勒索軟體攻擊,可先參考本篇第二章節,辨識勒索軟體名稱後,透過第三章節的解密工具清單,搜尋是否有可支援的解密工具。
2. 勒索病毒種類辨識
勒索軟體種類眾多,為了取得對應的解密工具,需先正確地辨識勒索軟體名稱。本篇提供以下線上勒索軟體辨識服務,可透過提供 ‘勒索內容’ (如: 勒索訊息、勒索電子郵件、網站網址等)與 ‘被加密的檔案’進行特徵比對,判定勒索軟體名稱。
1. ID Ransomware
由MalwareHunterTeam提供,可辨識超過1000種勒索軟體。使用者可透過上傳加密檔案、勒索訊息(如無勒索訊息,可提供勒索電子郵件、網站網址) ,即可進行辨識。網頁上傳介面如圖1 所示。勒索軟體名稱辨識結果示意圖如圖2紅框處所示。
網址請參考: ID Ransomware 官網
圖1、ID Ransomware上傳頁面
圖2、ID Ransomware 勒索軟體名稱的辨識結果示意圖(紅框處)
2. Crypto Sheriff
由The No More Ransom Project提供,可辨識勒索病毒並提供對應的免費解密工具。使用者可透過上傳兩個加密檔案、上傳勒索訊息檔案或是提供勒索訊息內容的電子郵件、網站網址、洋蔥網路網址、比特幣網址,即可進行辨識。上傳網頁介面如圖3所示。結果示意圖如圖4所示。
網址請參考: No More Ransom 官網
圖3、No More Ransom 解碼警長頁面
圖4、解碼警長勒索軟體名稱辨識結果示意圖 (紅框處)
3. 解密工具
勒索軟體名稱確認之後,可透過本章節所提供之解鎖工具網頁清單,搜尋勒索軟體名稱或是瀏覽解密工具清單找到對應的解密工具,少數勒索軟體有機會使用以下工具嘗試解密。勒索軟體名稱辨識方式請參考本篇第二章節。
1. No More Ransom 解鎖工具
由No More Ransom Project提供。使用者可透過搜尋勒索軟體名稱(紅框處)或是瀏覽解鎖工具列表(藍框處) (圖5) ,查看工具使用指南與下載(圖6) 。
網址請參考: No More Ransom 官網
圖5、No More Ransom 解鎖工具列表與搜尋頁面
圖6、No More Ransom解鎖工具之說明、使用指南與工具下載連結頁面
2. Trend Micro Ransomware File Decryptor
由Trend Micro 提供。使用者可下載 (綠框處)與執行RansomwareFileDecryptor工具,選擇勒索軟體名稱與欲解密的檔案或資料夾進行解密(紅框處)。頁面如圖7所示。
網址請參考: Trend Micro 官網
圖7、Trend Micro Ransomware File Decryptor下載與說明頁面
3. 卡巴斯基 Free Ransomware Decryptors
由卡巴斯基提供。使用者可瀏覽解密工具列(藍框處)表或是搜尋名稱(紅框處),下載所需之解密工具進行解密。搜尋畫面與列表如圖8所示。
網址請參考: 卡巴斯基官網
圖8、卡巴斯基Free Ransomware Decryptor 解密工具搜尋與瀏覽頁面
4. AVG 免費軟體解密工具
由AVG提供。使用者可瀏覽解密工具列表(圖9) (藍框處),檢視解密工具說明與下載修正程式進行解密(圖10)。
網址請參考: AVG 官網
圖9、AVG免費勒索軟體解密工具列表頁面
圖10、工具說明、勒索訊息畫面與修正程式下載連結 (示意圖)
5. EMSI SOFT Free Ransomware Decryption Tools
由EMSI SOFT提供。使用者可瀏覽解密工具列表(藍框處),下載所需解密工具(圖11)。
網址請參考: EMISI SOFT 官網
圖11、EMISI SOFT Free Ransomware Decryption Tool 解密工具列表頁面
6. McAfee Ransomware Recover (Mr2)
Mr2 為McAfee開發之解密工具,採取指令列介面,且定期更新支援的勒索軟體主類。使用者可透過圖12下載安裝Mr2 (綠框處),執行後可透過指令檢視支援解密的勒索軟體列表與進行解密,如圖13所示。
網址請參考: McAfee 官網
使用Mr2破解勒索軟體 Stampado之範例與說明:
Stampado 勒索訊息如圖14所示,內容提示受害者需透過攻擊者電子郵件 (圖14紅框處)聯繫以取得解鎖碼輸入(圖14綠框處)進行檔案解密。
1) 啟動Mr2後,輸入 ‘MfeDecrypt -list’指令(圖15綠框處)搜尋 ‘Stampado’勒索軟體的解密工具(圖15紅框處)
2) 執行 ‘MfeDecrypt -get stampado -ver 1.0.0’指令下載Stampado 解密工具。(圖16紅框處)
3) 執行 ‘MfeDecrypt -about stampado -ver 1.0.0’指令查看解密工具使用方式(圖17紅框處)。
4) 透過 ‘MfeDecrypt -run stampado -ver 1.0.0 -args “-e FileUnlocker64@mail2tor.com’命令執行解密工具(圖18紅框處),提供圖14紅框處的勒索聯絡電子郵件,取得解鎖碼(圖18綠框處),並於圖13的勒索訊息畫面輸入解鎖碼進行檔案解密。
圖12、McAfee Ransomware Recover (Mr2) 下載頁面
圖13、Mr2 執行畫面,包含工具指令與說明
圖14、Stampado勒索訊息 (示意圖)
圖15、Mr2支援Stampado解密與顯示所有勒索軟體解密支援的命令 (示意圖)
圖16、下載勒索軟體Stampado解密工具的命令 (示意圖)
圖17、Stampado解密工具命令使用方式 (示意圖)
圖18、取得Stampado解鎖碼 (示意圖)
7. Avast Free Ransomware Decryption Tools
由Avast提供。使用者可瀏覽解密工具列表(圖19) (藍框處),檢視解密工具說明與下載修正程式進行解密(圖20)。
網址請參考: Avast 官網
圖19、Avast Free Ransomware Decryption Tool 解碼工具列表頁面
圖20、解密工具說明、勒索訊息截圖與下載連結 (示意圖)
8. Quick Heal Free Decryption Tool
由Quick Heal提供。使用者可下載支援多種勒索軟體解密的工具進行解密(圖21)。執行工具後,會自動進行掃描加密檔案進行解密。
網址請參考: Quick Heal 官網
圖21、Quick Heal Free Ransomware Decryption Tool 解密工具下載頁面
9. MDS Ransomware Decryption Tools
由MDR提供。使用者可瀏覽解密工具列表,下載所需解密工具進行解密,如圖22所示。
網址請參考: MDS 官網
圖22、MDS Ransomware Decryption Tools 解密工具列表
留言列表
資安宣導 (2)
