就在去年,我们与荷兰执法机关合作共同创建了NoRansom网站,旨在帮助CoinVault受害人恢复访问自己的数据。在这之后,我们还特意强化了网站的功能:添加了其他几个免费工具,能恢复被其它cryptor(例如:TeslaCrypt和CryptXXX等等)加密的文件。
如今,我们在解决勒索软件问题方面又向前迈进了一大步。通过与荷兰警方、欧洲刑警组织和Intel Security的合作,我们共同创建了NoMoreRansom.org网站,我们计划将目前能找到的所有解密器都集合到这个网站上。
目前,我们正准备将另一种病毒的解决方案添加到我们的网站上—以帮助Shade勒索软件受害人恢复被锁的文件。和其它解密器一样,完全免费使用。
Shade
Shade作为勒索软件cryptor家族的一员,于2015年初被发现。Shade利用恶意垃圾邮件或漏洞利用工具作为其主要攻击媒介。后者由于受害人不必打开任何文件,因此更具危险性—只要访问一次这类受病毒感染的网站就会中招。
一旦该勒索软件成功潜入受害人系统,便会向犯罪分子的命令和控制服务器请求加密密钥—就算无法及时连上服务器,也可以使用此前内置的密钥。这意味着,就算PC电脑断网的话,只要该勒索软件依然在系统内,也能正常运行。
该恶意软件随后即开始加密文件,总共能感染超过150种格式,包括:微软办公文件、图片和存档等等。任何文件只要被加密,Shade都会在文件名后加上.xtbl或.ytbl扩展名。加密过程结束后,屏幕上即会显示一封勒索信。
Shade似乎还嫌文件加密”不够刺激”,还会不断进行其它恶意行为:就算受害人已惊恐万分,寻找到了解密器—或支付了赎金—Shade依然不会”善甘罢休”,继续在受感染的PC电脑上下载其它恶意软件。
获取免费解密器
如果你不幸成为了Shade勒索软件的受害人,这里有个好消息带给你:不用付赎金,我们就能帮你恢复加密的文件。具体方法如下:
1.前往NoMoreRansom.org。
2.向下拉可以看到解密器的两个下载按钮。选择来自Intel Security还是卡巴斯基实验室的解密器。以下操作方法仅适用于卡巴斯基实验室的解密器。
3.解压缩下载的文件ShadeDecryptor.zip。
4. 运行ShadeDecryptor.exe。
5. 在”Kaspersky ShadeDecryptor”窗口,点击更改参数。
6. 选择需要检查加密文件的驱动器。
7.在同一窗口中,选择”在解密后删除被加密的文件”,但我们并不建议这么做,因为你无法100%确定你的所有文件是否已成功恢复。
8.点击”OK”回到主屏幕。点击开始扫描。
9.在”指定一个加密文件路径”的窗口中,选择一个加密文件并点击”打开”。
10. 如果ShadeDecryptor提示无法自动检测受害人ID,可以指定文件路径到readme.txt文件,这可以肯定就是勒索信并含所需的ID。
你的文件终于成功解密了。显然省下了一大笔钱,好好享受吧!为了保护自己未来免遭勒索软件的再次攻击,可以使用一款强大的安全解决方案,比如卡巴斯基安全软件就是不错的选择。有关解决勒索软件问题的更多指导,请查阅这篇博文。
提示