2020勒索病毒文件恢复方法有哪些
RakhniDecryptor(卡巴斯基解密工具)是一款非常不错的解密TeslaCrypt的工具。我们先下载这款专杀工具。
运行专杀软件,点击“Changeparameters”修改软件扫描的范围为“Harddrives”,不要选择“Networkdrive”否则会影响扫描和解密的速度。
点击“Startscan”,选择被加密文档的所在目录,有多个文档也只需选中一个就行了。
软件会自动开始扫描解密,过程快的话十几秒,慢的话几分钟。解密出来的文档会出现在刚才所选择的目录下面,我原先被加密的图片已经被成功还原了。
1、打开“工具-选项-文件夹选项-选择显示所有文件和文件夹”,把“隐藏受保护的操作系统文件”前的"去掉。
2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩,然后启动WinRAR切换到该文件夹的上级文件夹,右键单击该文件夹,在弹出菜单中选择“重命名”。
3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-08002B30309D,}即可变为普通文件夹了。也可直接进入该文件夹找回丢失的文件。
4、针对病毒会修改注册表键值隐藏用户文件,运行regedit,修改被病毒破坏的注册表键值,这样就能显示隐藏文件以及系统文件了。
勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给
用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。
除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
样本运行流程详解
根据APT沙箱报告捕获到样本的关键行为,包括进程行为、文件行为、网络行为等信息,可以发现其运行分析流程如下:
该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTPGE请求访问加密数据,保存加密数据到TEMPI录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL(即勒索者主体)该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成秘钥,进而实现对指定类型的文件进行加密,即无需联网下载秘钥即可实现对文件加密。
同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。
勒索病毒应对方案
根据勒索病毒的特点和感染流程,可以推断其变种迅速,通常具备较强的对抗能力,且感染成功后无法恢复,常规的依靠特征匹配的防护手段不再适用,给勒索病毒的防护带来了极大的挑战,从而导致大量的用户被勒索病毒感染造成损失。
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
•通过脚本文件进行Http请求•通过脚本文件下载文件•读取远程服务器文件•收集计算机信息•遍历文件•调用加密算法库
安恒APT产品通过内置沙箱虚拟执行环境,可以对网络中传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。
同时,结合安恒APT云端可为用户提供更为深层的威胁分析服务、
