區(qū)塊鏈安全公司W(wǎng)F 曲速未來 前言：

作為一種古老的黑客不正當(dāng)獲利的手段，由于虛擬貨幣的自身特性，勒索軟件在加密貨幣的領(lǐng)地上煥發(fā)出了新的活力。加密貨幣作為贖金，已經(jīng)成了勒索軟件的基本配置。

今天我們將為大家介紹如何手動(dòng)刪除勒索軟件。

什么是勒索軟件？

勒索軟件可以分為兩種不同的類型; 屏幕鎖定器和文件加密器。

屏幕鎖定器通常只會阻止您訪問Windows。他們要求付款以解鎖系統(tǒng)，但不會造成任何實(shí)際損害。一個(gè)特別受歡迎的偽裝方法是假裝執(zhí)法，聲稱他們已經(jīng)發(fā)現(xiàn)存在非法的活動(dòng)。雖然繁瑣，但從這種勒索軟件攻擊中恢復(fù)通常非常簡單，并且可以重新獲得對系統(tǒng)的訪問權(quán)限。

另一種文件加密器則是加密用戶機(jī)器上的個(gè)人文件或整個(gè)硬盤驅(qū)動(dòng)器，阻止用戶訪問他們的文件，除非他們支付贖金。但并非所有文件加密勒索軟件都使用強(qiáng)加密技術(shù)，因此在許多情況下，用戶無需付費(fèi)即可恢復(fù)其數(shù)據(jù)。

對于這篇文章，我們主要介紹更常見的文件加密器類型的勒索軟件。由于勒索軟件家族不斷變化和發(fā)展，我們將演示一個(gè)典型的恢復(fù)程序，使用較老的勒索軟件家族，常青樹Xorist。

如果你被感染該怎么辦？

這是每個(gè)用戶和管理員的噩夢：你發(fā)現(xiàn)自己感染了勒索軟件，你正盯著屏幕上的一條消息，要求你花費(fèi)數(shù)千美元來解密你的文件。你該怎么辦？不要驚慌。勒索軟件可能會向您顯示時(shí)間限制，但重要的是避免采取錯(cuò)誤的步驟，這可能會使您更難恢復(fù)文件。

第1步：識別受感染的計(jì)算機(jī)

首先，找到受感染的計(jì)算機(jī)。這是非常重要的第一步，應(yīng)該在您發(fā)現(xiàn)勒索軟件感染時(shí)立即完成。您通常可以通過檢查網(wǎng)絡(luò)上的贖金票據(jù)文件的所有者或文件共享來找到勒索軟件所在的計(jì)算機(jī)。找到受感染的計(jì)算機(jī)后，斷開它們與網(wǎng)絡(luò)的連接，以便勒索軟件無法橫向傳播到網(wǎng)絡(luò)上的其他計(jì)算機(jī)，并在勒索軟件尚未完成時(shí)阻止加密更多文件。

第2步：檢查勒索軟件是否仍然存在

其次，一旦受感染的系統(tǒng)斷開連接，重要的是要弄清楚勒索軟件是否仍在運(yùn)行或存在于系統(tǒng)上。如果是這樣，那么最好在清理系統(tǒng)之前獲取內(nèi)存的進(jìn)程轉(zhuǎn)儲和惡意軟件的副本。這很重要，因?yàn)樘囟ǖ睦账鬈浖盗锌赡苋栽谶\(yùn)行中。通常，建議將任何惡意文件上傳到名為VirusTotal的服務(wù)。VirusTotal由來自60多個(gè)不同安全供應(yīng)商的防病毒掃描程序和其他安全工具提供支持，可以告訴您文件是否干凈，或者如果文件被檢測為惡意軟件，則提供檢測名稱。

第3步：找出您正在處理的勒索軟件

第三，將贖金票據(jù)和加密文件的副本上傳到ID-Ransomware（IDR）。IDR是一項(xiàng)免費(fèi)服務(wù)，經(jīng)過培訓(xùn)，可根據(jù)加密文件和勒索軟件中留下的線索識別勒索軟件。一旦你知道你正在處理哪種勒索軟件，就會更容易看出是否有合適的解密器以及是否有關(guān)于受害者如何被感染的信息。

第4步：清理

最后，我們通過下述案例了解如何清理。

如何刪除Xorist

大多數(shù)情況下手動(dòng)移除是不必要的。勒索軟件經(jīng)常自我刪除，因?yàn)樗呀?jīng)完成了加密文件和丟棄要求勒索贖金的主要目的。話雖這么說，一些勒索軟件還會將自己安裝到自動(dòng)啟動(dòng)位置，以加密以前未加密的任何新數(shù)據(jù)。其他一些勒索軟件可能會附帶其他惡意軟件，這可能會造成進(jìn)一步的破壞。

由于勒索軟件不斷發(fā)展，我們決定選擇一個(gè)相當(dāng)古老的勒索軟件家族，這個(gè)家庭仍在使用中，并且在它首次發(fā)布后的幾年內(nèi)占據(jù)了所有勒索軟件攻擊的很大一部分：Xorist。雖然肯定有更復(fù)雜的勒索軟件變種，但大多數(shù)都沒有展現(xiàn)出Xorist的持久力。

Xorist是一個(gè)勒索軟件構(gòu)建工具包，即使是初級的網(wǎng)絡(luò)犯罪分子也可以使用的勒索軟件。諸如背景圖像，勒索軟件筆記，要定位的文件擴(kuò)展名和解鎖密碼等內(nèi)容都可以完全自定義。我們從攻擊者多年來產(chǎn)生的成千上萬的Xorist變體中挑選了一個(gè)隨機(jī)變體。

當(dāng)您第一次看到受感染的系統(tǒng)時(shí)，您會立即看到背景已更改為可怕的注釋，并且所有圖標(biāo)都已更改為頭骨。

首先，我們要檢查勒索軟件或其他惡意軟件是否仍在使用Process Explorer或Process Hacker運(yùn)行。在這種情況下，勒索軟件在完成更改后退出，并且沒有其他惡意軟件在運(yùn)行。但是，如果您確實(shí)發(fā)現(xiàn)計(jì)算機(jī)上運(yùn)行的進(jìn)程看起來像惡意軟件，請確保在掛起或終止它們之前創(chuàng)建它們的完整進(jìn)程內(nèi)存轉(zhuǎn)儲。要做到這一點(diǎn)，只需右鍵單擊流程列表中的流程，然后在Process Hacker中選擇“Create dump file ...”或在Process Explorer中選擇“Create Dump / Create Full Dump ...”。

接下來，我們要使用一個(gè)名為Autoruns的便捷工具檢查加載點(diǎn)（大多數(shù)程序在啟動(dòng)時(shí)可以運(yùn)行的方式）。加載Autoruns后，我們在Run鍵中看到一個(gè)值，該圖標(biāo)與我們現(xiàn)在顯示的所有文件一樣。通過查看文件所在的位置（在temp中）并通過在VirusTotal上掃描（右鍵并選擇Submit to VirusTotal）進(jìn)一步調(diào)查，我們可以確定這可能是我們的勒索軟件文件。

有關(guān)在VirusTotal上掃描文件的一點(diǎn)需要注意的是，有時(shí)掃描程序可能會出現(xiàn)誤報(bào)。因此，如果一個(gè)文件只有一個(gè)或兩個(gè)檢測但看起來合法，則并不一定意味著該文件是惡意的。在這種情況下，將文件提交給我們可能會有所幫助，因此我們可以仔細(xì)查看。

但是，在這種情況下，考慮到檢測的數(shù)量 - 以及圖標(biāo)和可疑位置 - 我們可以假設(shè)此文件是惡意的并且是感染源。因此，我們可以通過右鍵單擊該行并選擇“刪除”來刪除自動(dòng)運(yùn)行條目，或者我們可以通過取消選中條目前面的復(fù)選框來禁用它。

通常，每當(dāng)您處理勒索軟件時(shí)，最好創(chuàng)建一個(gè)您找到的所有惡意可執(zhí)行文件的副本。您只需將它們?nèi)繌?fù)制到一個(gè)目錄中，然后將它們壓縮即可。歸檔惡意文件而不是刪除它們的原因非常簡單：在處理新的勒索軟件系列時(shí)，像我們這樣幫助勒索軟件受害者的公司將需要加密文件的勒索軟件可執(zhí)行文件以對其進(jìn)行反向工程并查找缺陷它的實(shí)施。只有這樣，我們才能將這些缺陷變成一個(gè)有效的解密者。如果受害者刪除勒索軟件的可執(zhí)行文件，則此過程變得更加困難。

在我們解除了自動(dòng)運(yùn)行并取消歸檔勒索軟件可執(zhí)行文件后，我們會將贖金票據(jù)和一個(gè)加密文件提交給ID-Ransomware。這個(gè)過程很簡單，大多數(shù)用戶都不會按照網(wǎng)站上的說明進(jìn)行操作。

ID Ransomware為我們正確識別勒索軟件系列，并且知道使用哪個(gè)解密器來獲取我們的文件。

在處理勒索軟件解密時(shí)，請記住它們可能并不完美。很多勒索軟件都是粗暴編程的。有些會直接損壞他們加密的部分文件而導(dǎo)致無法恢復(fù)損壞的部分。最好檢查解密器下載頁面上的使用信息，以確定是否存在任何此類限制以及如何正確使用解密器。

大多數(shù)解密器（包括我們的解密器）通常要求您擁有一個(gè)匹配的文件對，其中包含一個(gè)加密文件以及未加密的原始版本。許多受害者通常不知道如何獲得這些并認(rèn)為不可能得到匹配的一對。但是，根據(jù)以下指針，他們通常會立即找到一個(gè)文件對：

       1.如果在下載目錄中加密了任何文件，只需再次下載該文件即可。

       2. 如果有任何加密的標(biāo)準(zhǔn)Windows文件，例如默認(rèn)壁紙，只需從運(yùn)行相同版本W(wǎng)indows的其他系統(tǒng)中復(fù)制相同的文件即可。

       3.檢查您發(fā)送的電子郵件文件夾，查看您發(fā)送給現(xiàn)在已加密的朋友或家人的任何文件，只需獲取原始表單即可發(fā)送電子郵件。

解密器通常還需要一些時(shí)間來執(zhí)行一些冗長的計(jì)算，以確定要使用的正確解密密鑰。因此，在解密者完成其工作時(shí)請耐心等待。

一旦我們下載了Xorist解密器并使用合適的文件對運(yùn)行它，它就會開始進(jìn)行攻擊以破壞加密：

完成后，解密器將通知我們該過程的結(jié)果：

單擊確定并開始解密過程后，我們將文件恢復(fù)：

大多數(shù)勒索軟件都需要額外的清理工作。首先，壁紙。使用標(biāo)準(zhǔn)Windows對話框可以輕松更改壁紙。只需右鍵單擊桌面上的空白區(qū)域，然后選擇“個(gè)性化”。然后將背景更改回您想要的背景：

在這種特殊情況下，勒索軟件還注冊了自己的文件擴(kuò)展名（.cryptedx）并將其鏈接到勒索軟件可執(zhí)行文件。這就是為什么所有加密文件突然有一個(gè)頭骨圖標(biāo)。刪除它有點(diǎn)棘手，需要使用Windows注冊表編輯器。

只需運(yùn)行“regedit.exe”命令即可打開Windows注冊表編輯器。要進(jìn)入“運(yùn)行”對話框，請同時(shí)按Windows鍵和“R”鍵。

現(xiàn)在導(dǎo)航到HKEY_CLASSES_ROOT鍵。此注冊表項(xiàng)包含文件擴(kuò)展名之間的所有鏈接以及它們鏈接到的應(yīng)用程序。接下來，在HKEY_CLASSES_ROOT鍵中查找子鍵“.cryptedx”。你會發(fā)現(xiàn)類似的東西：

基本上有兩種方法可以在注冊表中設(shè)置文件擴(kuò)展名。要使用的應(yīng)用程序的信息直接存儲在文件擴(kuò)展名子密鑰中，要么該信息是單獨(dú)存儲的，文件擴(kuò)展名只鏈接到該其他條目。通過檢查文件擴(kuò)展名密鑰本身是否具有任何子密鑰來確定哪個(gè)是哪種方法。這顯然不是這里的情況，否則，它將有一個(gè)小箭頭展開左側(cè)導(dǎo)航窗格中的子鍵。因此我們將記下默認(rèn)值（“NTGQBAPSQKOSXWE”），然后刪除密鑰。

接下來，我們查看NTGQBAPSQKOSXWE子鍵。這是表示運(yùn)行應(yīng)用程序的關(guān)鍵：

刪除最后一個(gè)密鑰將完全刪除惡意軟件放置的擴(kuò)展注冊。

最后但并非最不重要的是，我們將進(jìn)行最后一些清理工作。大多數(shù)解密器將保留贖金票據(jù)以及加密文件，以防出現(xiàn)任何問題。畢竟，擁有加密備份仍然比完全沒有備份更好。但是，一旦確定您的文件已經(jīng)恢復(fù)并且沒有損壞，它們就會變得不必要的混亂。

因此，在我們的最后一步中，我們使用Windows文件搜索來查找所有加密文件以及所有贖金備注以刪除它們：

只需選擇all并刪除任何其他文件，我們就完成了對勒索軟件感染和文件恢復(fù)的完全刪除。

如何避免勒索軟件？

簡而言之，勒索軟件只是普通的惡意軟件。因此，針對普通惡意軟件的所有常用過程對于勒索軟件同樣有效，例如：

1.使您的軟件和操作系統(tǒng)保持最新，以避免成為漏洞攻擊和偷渡式下載的目標(biāo)。

2.不要從盜版軟件或從您不認(rèn)識的來源打開電子郵件附件等高風(fēng)險(xiǎn)行為。即使您確實(shí)了解來源，也要使用常識。由于大多數(shù)文檔格式已經(jīng)過壓縮，因此沒有理由任何人在ZIP存檔中包裝發(fā)票，訂單確認(rèn)或其他任何內(nèi)容并通過電子郵件發(fā)送。在這種情況下，ZIP不會減小電子郵件的大小，而只是用于通過過濾掉可能的惡意附件的附件過濾器。

3.使用可靠的防病毒和反惡意軟件程序來保護(hù)您的安全。

區(qū)塊鏈安全公司W(wǎng)F曲速未來 觀點(diǎn)：

您可以采取一些額外的步驟來保護(hù)自己。備份是最重要的一個(gè)。雖然備份不能保護(hù)您免受勒索軟件的侵害，但它們確實(shí)有助于減輕損失。備份的一般規(guī)則是“3-2-1”。擁有3份重要數(shù)據(jù)。您的系統(tǒng)無法訪問其中2個(gè)副本。其中1份副本應(yīng)存放在異地。