绝地归来——勒索病毒部分解密记,及其经验教训(完结)
0、事情的起因在这里,百度一下真会死,黑客勒索更闹心!
1、声明一下,原文是略有一点标题党,但是行文中并没有言之凿凿地说一定由百度网页下载软件造成中毒,只是依据事情发生的时间顺序做出了一份陈述。当然,这和百度是全家桶辣鸡,毫无矛盾,完全可以共存共荣。而且从杀毒结果来看,百度显然也不怎么无辜。
2、尝试解毒的全过程是这样的:首先,百度,对,百度、还是百度、又是百度、反复百度。。。根据crypt、比特币、敲诈、勒索病毒等关键词,搜出不少相关的料,主要网页都集中在爱毒霸交流论坛(http://bbs.duba.net/forum-6392-1.html)、Mobile01论坛(http://www.5i01.cn/topiclist.php?f=508)两处,以及百度贴吧,让我对这个病毒有了一些初步的认识。尽其可能,快速翻阅了一两百页之后,心情反而稳定下来,知道无解了,除了付钱。
3、发布了日记《百度一下真会死,黑客勒索更闹心!》,然后热心的豆友回复给了一条线索,差不多同时稍早些的时间点上,这条线索的一个引子也被我在爱毒霸论坛里的一个跟帖中发现,我根据那个引子,打电话过去,联系到一个病友(哈哈,此外还有什么好称呼?)他指点了一个路径,和热心豆友的回复异曲同工,都指向了知乎。
4、在热心豆友的召唤下,这位知乎达人专程来豆瓣回复了日记,现已删除,原因是该解决方案有效性仅1%,而且得是5月7号以前中毒的。之后的病毒又迅速变异了,暂时没有解药了,如果继续使用既有方案,可能造成对其他未中毒文件的损害。幸运的是,这个解决办法对我的计算机是有效的。
5、具体操作:先杀毒,当然不排除有些敲诈者病毒会在加密文件后删除自身,导致杀软扫描无异常,那只有摊手。一般就用腾讯电脑管家(顺便看看这个,http://guanjia.qq.com/act/brand/201505btb/?ADTAG=cop.innercop.sem.btb)
金山毒霸,以及微软的这个,https://www.microsoft.com/zh-cn/security/pc-security/mse.aspx
杀毒和解密无关,主要是保障其他文件的安全。杀毒并不会影响后续解毒(截止目前的对病毒认知是这样的)。这几个软件使用前,先升级病毒库到最新版本。
6、尝试解密:看看这个https://noransom.kaspersky.com/,
还有这个,http://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-free-decryptor-for-cryptxxx-ransomware/,下拉页面去看他们的讨论。
然后下载这个,http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe
成功解密了一部分比较小的文件。
特别提示,这个办法的已知成功率只有1%,仅限于5月7号之前中毒的,同时,最麻烦的地方在于你必须有一个与中毒文件完全相同的备份原文件。所以,我接连两天在豆瓣广播里各种求渣浪微盘的指定文件下载链接。
7、重复,非常非常关键的一点,你必须有一个与中毒文件完全相同的备份原文件。否则上述的卡巴软件会提示出错,根本无法开始扫描。
而作为一个著名洁癖,我这次教训惨痛。本机打包的文件多半是经过整理的电子书,等于一个有1-8种的某丛书,又加了3-5本周边相关之书,一起rar了。结果,根本没法回忆清楚究竟加了什么书,哪个版本,也就很难和重新下载回来的书完全匹配,于是两个rar包的大小自然不一样,没法解密。我甚至努力做加减法,做到让两个rar包在右键属性里都大小一样了,仍然被识破,全部恢复电子书的妄想可耻的破产了。。【好希望得超忆症啊!!!
所以,经过这些测试和折腾,我们知道了这不是文件大小一致的问题,是这个文件是不是原文件的问题。
我找《失控》这大小的版本没找到,却找到了比之更大的一个90多M的《巨流河》台版,于是95M以下的加密文件都被解密了。另一个大号文件143M的《素女经》由于本人洁癖,下载后在PDF阅读器里做了一次压缩文件,结果再次找到那个原大小161M的《素女经》时,没法再次压缩到同样大小了。所以143M及以上大小的文件都没法解密了。。。
8、经验教训
①备份、备份、备份、备份、备份、备份、再备份!!!
总之,随时备份、各种备份就对了,这是第一要务。只要有备份,就不怕勒索。
特别是大量txt、word、ppt等文档备份,最好打rar压缩包,然后去掉后缀名,减少被病毒感染的几率,不说百分之百,但有一定帮助。
②查杀防毒软件三件套备齐:腾讯电脑管家、金山毒霸和上述那个微软的软件(win10已另有自带软件完美防护了据说)。
切记:每日开机查杀、每天更新病毒库、拷贝移动硬盘和转移存储云盘时也要下杀毒后存储,不然连带一起遭殃就惨了。
③下载的高清扫描版电子书,不要多事去做PDF内的压缩。不然勤快人就会被懒给偷了。
最新版病毒已经和原文件不一样大小了,卡巴斯基也已经更新了该恢复软件,请自行了解和使用吧。
④该病毒防不胜防,无数网管和电脑高手也都中招了,大致的统计说有10%的中奖率,豆瓣是各种文字和图片型文档用户的密集区域,所以大家千万不要掉以轻心。
ps:一时无法解密的文件(不急用的话),先放着(加密文件本身无毒——这是截至目前的认知,以后怎么变化不好说),也许以后会有办法。
1、声明一下,原文是略有一点标题党,但是行文中并没有言之凿凿地说一定由百度网页下载软件造成中毒,只是依据事情发生的时间顺序做出了一份陈述。当然,这和百度是全家桶辣鸡,毫无矛盾,完全可以共存共荣。而且从杀毒结果来看,百度显然也不怎么无辜。
2、尝试解毒的全过程是这样的:首先,百度,对,百度、还是百度、又是百度、反复百度。。。根据crypt、比特币、敲诈、勒索病毒等关键词,搜出不少相关的料,主要网页都集中在爱毒霸交流论坛(http://bbs.duba.net/forum-6392-1.html)、Mobile01论坛(http://www.5i01.cn/topiclist.php?f=508)两处,以及百度贴吧,让我对这个病毒有了一些初步的认识。尽其可能,快速翻阅了一两百页之后,心情反而稳定下来,知道无解了,除了付钱。
3、发布了日记《百度一下真会死,黑客勒索更闹心!》,然后热心的豆友回复给了一条线索,差不多同时稍早些的时间点上,这条线索的一个引子也被我在爱毒霸论坛里的一个跟帖中发现,我根据那个引子,打电话过去,联系到一个病友(哈哈,此外还有什么好称呼?)他指点了一个路径,和热心豆友的回复异曲同工,都指向了知乎。
4、在热心豆友的召唤下,这位知乎达人专程来豆瓣回复了日记,现已删除,原因是该解决方案有效性仅1%,而且得是5月7号以前中毒的。之后的病毒又迅速变异了,暂时没有解药了,如果继续使用既有方案,可能造成对其他未中毒文件的损害。幸运的是,这个解决办法对我的计算机是有效的。
5、具体操作:先杀毒,当然不排除有些敲诈者病毒会在加密文件后删除自身,导致杀软扫描无异常,那只有摊手。一般就用腾讯电脑管家(顺便看看这个,http://guanjia.qq.com/act/brand/201505btb/?ADTAG=cop.innercop.sem.btb)
金山毒霸,以及微软的这个,https://www.microsoft.com/zh-cn/security/pc-security/mse.aspx
杀毒和解密无关,主要是保障其他文件的安全。杀毒并不会影响后续解毒(截止目前的对病毒认知是这样的)。这几个软件使用前,先升级病毒库到最新版本。
6、尝试解密:看看这个https://noransom.kaspersky.com/,
还有这个,http://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-free-decryptor-for-cryptxxx-ransomware/,下拉页面去看他们的讨论。
然后下载这个,http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe
成功解密了一部分比较小的文件。
特别提示,这个办法的已知成功率只有1%,仅限于5月7号之前中毒的,同时,最麻烦的地方在于你必须有一个与中毒文件完全相同的备份原文件。所以,我接连两天在豆瓣广播里各种求渣浪微盘的指定文件下载链接。
7、重复,非常非常关键的一点,你必须有一个与中毒文件完全相同的备份原文件。否则上述的卡巴软件会提示出错,根本无法开始扫描。
而作为一个著名洁癖,我这次教训惨痛。本机打包的文件多半是经过整理的电子书,等于一个有1-8种的某丛书,又加了3-5本周边相关之书,一起rar了。结果,根本没法回忆清楚究竟加了什么书,哪个版本,也就很难和重新下载回来的书完全匹配,于是两个rar包的大小自然不一样,没法解密。我甚至努力做加减法,做到让两个rar包在右键属性里都大小一样了,仍然被识破,全部恢复电子书的妄想可耻的破产了。。【好希望得超忆症啊!!!
所以,经过这些测试和折腾,我们知道了这不是文件大小一致的问题,是这个文件是不是原文件的问题。
我找《失控》这大小的版本没找到,却找到了比之更大的一个90多M的《巨流河》台版,于是95M以下的加密文件都被解密了。另一个大号文件143M的《素女经》由于本人洁癖,下载后在PDF阅读器里做了一次压缩文件,结果再次找到那个原大小161M的《素女经》时,没法再次压缩到同样大小了。所以143M及以上大小的文件都没法解密了。。。
8、经验教训
①备份、备份、备份、备份、备份、备份、再备份!!!
总之,随时备份、各种备份就对了,这是第一要务。只要有备份,就不怕勒索。
特别是大量txt、word、ppt等文档备份,最好打rar压缩包,然后去掉后缀名,减少被病毒感染的几率,不说百分之百,但有一定帮助。
②查杀防毒软件三件套备齐:腾讯电脑管家、金山毒霸和上述那个微软的软件(win10已另有自带软件完美防护了据说)。
切记:每日开机查杀、每天更新病毒库、拷贝移动硬盘和转移存储云盘时也要下杀毒后存储,不然连带一起遭殃就惨了。
③下载的高清扫描版电子书,不要多事去做PDF内的压缩。不然勤快人就会被懒给偷了。
最新版病毒已经和原文件不一样大小了,卡巴斯基也已经更新了该恢复软件,请自行了解和使用吧。
④该病毒防不胜防,无数网管和电脑高手也都中招了,大致的统计说有10%的中奖率,豆瓣是各种文字和图片型文档用户的密集区域,所以大家千万不要掉以轻心。
ps:一时无法解密的文件(不急用的话),先放着(加密文件本身无毒——这是截至目前的认知,以后怎么变化不好说),也许以后会有办法。