卡巴斯基研究人员近日发布了一款文件解密工具,解决了最新版CryptXXX(v.3)勒索软件造成的威胁。这款工具被纳入RannohDecryptor,这是卡巴斯基实验室的“抗勒索项目”(No Ransom Project)提供的一套免费工具。工具下载见文末。 CryptXXX v.3勒索软件解密工具之前的解密工具仅对CryptXXX v.3加密的部分文件有效,这款最新工具则可以恢复这个勒索软件加密的所有文件。 最新版CryptXXX是当前最活跃的勒索软件之一,解密器对该软件的幕后黑手来说无疑是一个打击。受CryptXXX之害的用户中有大约四分之一位于美国境内,俄罗斯、德国和日本是其余的几个重灾区。 四月份,研究人员曾发布了一款解密工具,用以解锁被CryptXXX(v.3之前版本)加密的文件。到六月份,黑客升级了CryptXXX以对付各种解密工具,并新增了一个凭证窃取模块。当时,Proofpoint研究人员表示,CryptXXX编写者力图使软件超越Locky的感染速度及范围。 CryptXXX第一版中加密算法包含一个严重缺陷,研究人员利用其开发了一款解密工具。CryptXXX v.2对代码进行了更新,但是仍然有缺陷,卡巴斯基实验室利用这个缺陷升级了解密工具。到CyrptXXX v.3出现时,这个工具用以解密第2版和第3版勒索软件加密的文件。 根据卡巴斯基实验室研究人员所说,CryptXXX是用Delphi写成的动态链接库(DLL),使用了各种不同的加密算法攻击文件。卡巴斯基实验室认为,这款恶意软件使用了三种加密方法,一种使用RC4用一个密钥加密所有文件,另两种使用RC4和RSA加密文件内容和RC4密钥,或同时使用RC4和RSA:RC4用于加密文件内容,RSA用于加密部分文件内容和RC4密钥。 勒索软件CryptXXX v.3版本能给窃取用户账户CryptXXX v.3加密的文件具有“.crypt”、“.cryp1”和“.crypz”之类的扩展名。 研究人员经过分析发现,与勒索软件Locky不同的是,CryptXXX通过将流量引到感染了Angler与Neutrino的恶意URL进行传播,而Locky多通过Dridex垃圾邮件传播。 与CryptXXX之前版本相比,v.3新增了一个stiller.dll模块,可下载到目标PC。这个模块能够窃取储存在受害者PC中的130种账户凭证,包括email客户端、即时通信程序与Web浏览器的账户凭证。 根据卡巴斯基研究人员的解释,“文件被加密后,所有重要数据被转移到攻击者手中,然后木马会提示受害人缴纳赎金”。 目前尚不清楚攻击者利用最新版CryptXXX索取的赎金数额。6月份时,一份针对CrpytXXX v.2的赎金支付分析报告指出,解密文件平均需要花费1.3个比特币(1000美元)。 卡巴斯基公布了一批勒索软件解密工具卡巴斯基实验室之前公布了十几个解密密钥,用以对付CoinVault、TeslaCrypt、Wildfire和Crybola变种勒索软件。卡巴斯基实验室的“No Ransom”网站提供当前可用的全部解密工具。点击下面的链接下载,而且卡巴斯基还附上了各勒索软件解密工具的使用指南。 - SMASH RANNOH & CO,RannohDecryptor 工具用于解密 CryptXXX versions 1-3 (new!), Rannoh, AutoIt, Fury, Crybola, Cryakl, Polyglot.
- COMBAT SHADE,ShadeDecryptory工具用于解密 Shade version 1 and version 2.
- FIGHT RAKHNI & FRIENDS,RakhniDecryptor工具用于解密 Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) version 3 and 4, Chimera, Crysis version 2 and 3.
- ELIMINATE WILDFIRE,WildfireDecryptor用具用户解密 Wildfire .
- DESTROY COINVAULT,CoinVaultDecryptor 工具用于解密 CoinVault and Bitcryptor.
- KILL XORIST,XoristDecryptor 工具用于解密 Xorist and Vandev .
|