http://hwjlife.blogspot.com/2016/06/2016-06-15ransomware-badblock.html
雖然一直知道勒索病毒,連FBI都說還是付錢算了!
但總覺得那是在國外,應該不會輪到我,
但沒想到我也中了!
網路上查了半天資料,竟然都沒有我中的那一款
拜讀了重灌達人的:
中勒索病毒、檔案被加密怎麼辦?試試趨勢科技的解密軟體 Trend Micro Ransomware File Decryptor
http://briian.com/36414/trend-micro-ransomware-file-decryptor.html軟體也下載了!還以為OK了!
結果沒用!跟我的不一樣~!
只好認真的把勒索網頁打開來看看:
夭壽都是英文,但還好為了配合勒索世界,文法很簡單,用google翻譯都能翻出9成的意思。 |
簡單就是說要支付2元的比特幣(約900美金),還怕你不會順便給你兩個比特幣的網站進行轉帳, 另外,不要刪除病毒,不要關機,不要更新防毒,支付完自然就會幫你解開,最可惡的是騙了我的錢,還要我相信他?(好像也沒別辦法) |
提供的比特幣轉帳連結,哇!漲價了!680多元美金才能換1比特幣耶! |
另一個網站還供日圓的匯率,(感覺日圓比較便宜?)反正依照美金匯率,680*2*30大約要30000多台幣了耶! |
國內的防毒大廠沒辦法解這個病毒,只好求助國外了!
打入關鍵字ransomware BadBlock,第一個就可以找到 |
太好了!畫面跟我中的一樣 |
內容很多直接看重點吧!直接去這個連結下載軟體。 |
查了一下才知道原來是一家奧地利資安公司Emsisoft的資安研究員Fabian Wosar在分析程式碼之後,成功破解該勒索軟體的加密演算法,並開發了解密程式,而且免費散發給大家,實在是佛心!趕快下載吧! |
就一個檔案decrypt_badblock.exe |
直接執行是沒用的!需要產生解碼的CODE |
依照教學網頁所說,需要一個正常的檔案來做比對,才能產生解碼CODE
這時候,只好想想,有沒有其他備份,有沒有EMail給朋友,雲端之類的找個正常的檔案
有的話就OK了!中這種的病毒,不會改檔名,也不會多檔案,所以被編碼的檔案是
DPP_0025.jpg
另一個正常的照片我自己取名為:
DPP_0025_o.jpg
把這兩個選起來一起拖曳到decrypt_badblock.exe
(如果可能,盡量不要找太大的檔案產生解碼CODE會比較快一點)
拖曳到decrypt_badblock.exe |
就會出現命令列模式,正在比對計算,這時候很吃CPU! |
好了耶!得到解碼CODE,按下確定 |
會有軟體宣告,主要就是有問題不負責,都已經到這時候了,死馬當活馬醫!當然按是嘍! |
有圖形介面出來了!add folder可以選要解碼的目錄,預設是每個磁碟機,再來看看option |
要不要產生編碼備份檔?如果檔案很多,建議是不要勾,不然硬碟空間解到一半可能會有不夠的情形,反正被編碼過的檔案也是垃圾,不備份真的沒甚麼關係! |
按下Decrypt就開始了!檔案越多,時間越長! |
解碼完後就可以看到正常的照片了,原來被編碼過的,就保留成 DPP_0025.jpg.decbak,另外也產生了解碼的CODE檔案decryption.key! |
這軟體真的很讚,成功的解開了我幾十萬個檔案,
另外如果中斷了!也沒關係,只是雖然有decryption.key但,在一次開起軟體時,
還是沒辦法,上述的步驟要再來一次,
但目錄依然可以設成全部,他解碼成功後的檔案,就不會再變更了!
另外HydraCrypt與UmbreCrypt的也是可以在http://decrypter.emsisoft.com/
找到相對應的解碼程式,操作方式應該都差不多!
ransomware BadBlock目前沒人寫解開的方法,希望這篇文章能夠幫到大家
如果你面對的是其他的勒索軟體
可以試試看趨勢科技推出的解密軟體 Trend Micro Ransomware File Decryptor,
可處理
CryptXXX V1, V2, V3*
TeslaCrypt V1**、
TeslaCrypt V2**、
TeslaCrypt V3、
TeslaCrypt V4、
SNSLocker、
AutoLocky 等勒索病毒加密的檔案,
副檔名包含:.crypt, .ECC, .VVV, CCC, ZZZ, AAA, ABC, XYZ, .XXX, TTT, MICRO, .RSNSLocked, .locky.. 等,應該有機會可以用這工具還原回來。
下載趨勢科技解碼工具
使用方式可以參考 重灌狂人:http://briian.com/36414/trend-micro-ransomware-file-decryptor.html
最後,還是要宣導,不明軟體不要打開,防毒軟體要裝要更新,
反正也沒人能保證付了錢資料就會好,
所以我們絕不向恐怖份子妥協,最慘就是.....資料都不要了!
如果你面對的是其他的勒索軟體
可以試試看趨勢科技推出的解密軟體 Trend Micro Ransomware File Decryptor,
可處理
CryptXXX V1, V2, V3*
TeslaCrypt V1**、
TeslaCrypt V2**、
TeslaCrypt V3、
TeslaCrypt V4、
SNSLocker、
AutoLocky 等勒索病毒加密的檔案,
副檔名包含:.crypt, .ECC, .VVV, CCC, ZZZ, AAA, ABC, XYZ, .XXX, TTT, MICRO, .RSNSLocked, .locky.. 等,應該有機會可以用這工具還原回來。
Ransomware | File name and extension |
---|---|
CryptXXX V1, V2, V3* | {original file name}.crypt |
TeslaCrypt V1** | {original file name}.ECC |
TeslaCrypt V2** | {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ |
TeslaCrypt V3 | {original file name}.XXX or TTT or MP3 or MICRO |
TeslaCrypt V4 | File name and extension are unchanged |
SNSLocker | {Original file name}.RSNSLocked |
AutoLocky | {Original file name}.locky |
使用方式可以參考 重灌狂人:http://briian.com/36414/trend-micro-ransomware-file-decryptor.html
最後,還是要宣導,不明軟體不要打開,防毒軟體要裝要更新,
反正也沒人能保證付了錢資料就會好,
所以我們絕不向恐怖份子妥協,最慘就是.....資料都不要了!