若您不幸成為勒索軟體的受害者,大多數的情況下您將無計可施。所幸歷經長期努力之下,警察單位及網路安全公司合作破獲勒索軟體的伺服器,並由其中檢索出一些資訊。這些資訊相當有用,因為它有助於開發出解密工具並且還原使用者的檔案。最近荷蘭網路警察和卡巴斯基實驗室合作開發出一套針對CoinVault勒索軟體受害者的解決方案。
若您正在尋求如何擺脫這款勒索軟體的威脅並還原您的檔案,請您閱讀以下的文章。
步驟1:您是否已經感染了CoinVault?
首先,請先確認您的檔案是被CoinVault而非其他的勒索軟體竊取。檢查方式非常簡單:若您被CoinVault感染,將會看到以下的畫面:
步驟2:取得比特幣錢包位址
在CoinVault畫面右下角您會看到比特幣錢包的位址(如上圖黑圈標示處)。複製及儲存此位址對您而言是非常重要的。
步驟3:取得被加密檔案列表
在惡意軟體畫面的左上角,您可以查看到 'View encrypted filelist'按鈕(如上圖藍圈標示處)。按此按鈕並另存新檔。
步驟4:移除CoinVault
前往http://www.jadespring.com.tw/downloads-internet-security.html並下載卡巴斯基網路安全軟體試用版。安裝後它將從您的系統中移除CoinVault。請先確認於步驟2及步驟3取得的所有資訊都已經儲存。
步驟5:前往http://noransom.kaspersky.com網站
在http://noransom.kaspersky.com網站您可以輸入自步驟2中取得的比特幣錢包位址。若您的比特幣錢包位址為已知,IV及key將會顯示在螢幕上。請注意有可能會顯示多筆的key及IV資料。在此情況下,儲存所有的key及IV到您的電腦中,稍後您將會用到它們。
步驟6:下載解密工具
於https://noransom.kaspersky.com下載解密工具並於您的電腦中執行。若您看到如下圖的錯誤訊息,請接步驟7。若未顯示錯誤訊息,則跳過步驟7直接進行步驟8。
步驟7:下載並安裝additional libraries
前往http://www.microsoft.com/en-us/download/details.aspx?id=40779並依照網頁指示操作,然後下載此軟體。
步驟8:開啟解密工具
打開此工具後您將看到如下圖畫面:
步驟9:若解密作業正確運作請執行以下測試
在第一次執行解密工具時,我們誠摯的建議您執行解密測試。請依照下列步驟:
l 在"Single File Decryption"中點選"Select file"按鈕並選擇您欲解密的檔案;
l 輸入網頁顯示的IV至IV欄位;
l 輸入網頁顯示的key至key欄位;
l 點選"Start"按鈕。
然後查看新增的檔案是否已被確實解密。
步驟10:解密所有被CoinVault竊取的檔案
若步驟9都進行順利,接著您便能馬上著手還原您的檔案。請選擇步驟3中的檔案列表,輸入IV及key並點選start。若有需要您可選擇"Overwrite encrypted file with decrypted contents"。
還原您被CoinVault竊取的檔案,完全免費
在您輸入比特幣錢包位址時,若收到多筆的IV及key,請務必小心。此時我們無法百分之百確定多筆的IV及key當中何者是比特幣錢包的真正來源,我們建議您不要勾選"Overwirte encrypted file with decrypted contents"。若是解密發生問題,您可以其他IV及key的組合繼續嘗試,直到檔案成功解密為止。
若是您一直都沒收到IV及key,您可以等候並查看https://noransom.kaspersky.com。調查作業持續進行中,我們也將儘快增加新的key資料。
原文出處:http://blog.kaspersky.com/coinvault-ransomware-removal-instruction/
作者:Alex Drozhzhin
留言列表
