2016年6月14日 星期二

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!

http://mmblog.tw/hwj/article/75084/
雖然一直知道勒索病毒,連FBI都說還是付錢算了!
但總覺得那是在國外,應該不會輪到我,

但沒想到我也中了!

網路上查了半天資料,竟然都沒有我中的那一款
拜讀了重灌達人的:

中勒索病毒、檔案被加密怎麼辦?試試趨勢科技的解密軟體 Trend Micro Ransomware File Decryptor

https://briian.com/36414/trend-micro-ransomware-file-decryptor.html

軟體也下載了!還以為OK了!
結果沒用!跟我的不一樣~!

只好認真的把勒索網頁打開來看看:
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
夭壽都是英文,但還好為了配合勒索世界,文法很簡單,用google翻譯都能翻出9成的意思。
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
簡單就是說要支付2元的比特幣(約900美金),還怕你不會順便給你兩個比特幣的網站進行轉帳,
另外,不要刪除病毒,不要關機,不要更新防毒,支付完自然就會幫你解開,最可惡的是騙了我的錢,還要我相信他?(好像也沒別辦法)
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
提供的比特幣轉帳連結,哇!漲價了!680多元美金才能換1比特幣耶!
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
另一個網站還供日圓的匯率,(感覺日圓比較便宜?)反正依照美金匯率,680*2*30大約要30000多台幣了耶!


國內的防毒大廠沒辦法解這個病毒,只好求助國外了!
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
打入關鍵字ransomware BadBlock,第一個就可以找到
點我看網址

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
太好了!畫面跟我中的一樣

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
內容很多直接看重點吧!直接去這個連結下載軟體。
點我看網址
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
查了一下才知道原來是一家奧地利資安公司Emsisoft的資安研究員Fabian Wosar在分析程式碼之後,成功破解該勒索軟體的加密演算法,並開發了解密程式,而且免費散發給大家,實在是佛心!趕快下載吧!
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
就一個檔案decrypt_badblock.exe
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
直接執行是沒用的!需要產生解碼的CODE

依照教學網頁所說,需要一個正常的檔案來做比對,才能產生解碼CODE
這時候,只好想想,有沒有其他備份,有沒有EMail給朋友,雲端之類的找個正常的檔案
有的話就OK了!中這種的病毒,不會改檔名,也不會多檔案,所以被編碼的檔案是
DPP_0025.jpg
另一個正常的照片我自己取名為:
DPP_0025_o.jpg
把這兩個選起來一起拖曳到decrypt_badblock.exe
(如果可能,盡量不要找太大的檔案產生解碼CODE會比較快一點)

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
拖曳到decrypt_badblock.exe

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
就會出現命令列模式,正在比對計算,這時候很吃CPU!

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
好了耶!得到解碼CODE,按下確定

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
會有軟體宣告,主要就是有問題不負責,都已經到這時候了,死馬當活馬醫!當然按是嘍!

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
有圖形介面出來了!add folder可以選要解碼的目錄,預設是每個磁碟機,再來看看option
2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
要不要產生編碼備份檔?如果檔案很多,建議是不要勾,不然硬碟空間解到一半可能會有不夠的情形,反正被編碼過的檔案也是垃圾,不備份真的沒甚麼關係!

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
按下Decrypt就開始了!檔案越多,時間越長!

2016-06-15可怕的勒索病毒軟體ransomware BadBlock,有解了!被編碼後的檔案終於復原了!
解碼完後就可以看到正常的照片了,原來被編碼過的,就保留成 DPP_0025.jpg.decbak,另外也產生了解碼的CODE檔案decryption.key!

這軟體真的很讚,成功的解開了我幾十萬個檔案,
另外如果中斷了!也沒關係,只是雖然有decryption.key但,在一次開起軟體時,
還是沒辦法,上述的步驟要再來一次,
但目錄依然可以設成全部,他解碼成功後的檔案,就不會再變更了!


另外HydraCryptUmbreCrypt的也是可以在https://decrypter.emsisoft.com/

找到相對應的解碼程式,操作方式應該都差不多!


ransomware BadBlock目前沒人寫解開的方法,希望這篇文章能夠幫到大家

如果你面對的是其他的勒索軟體
可以試試看趨勢科技推出的解密軟體 Trend Micro Ransomware File Decryptor,
可處理
 CryptXXX V1, V2, V3*
TeslaCrypt V1**、
TeslaCrypt V2**、
TeslaCrypt V3、
TeslaCrypt V4、
SNSLocker、
AutoLocky 等勒索病毒加密的檔案,
副檔名包含:.crypt, .ECC, .VVV, CCC, ZZZ, AAA, ABC, XYZ, .XXX, TTT, MICRO, .RSNSLocked, .locky.. 等,應該有機會可以用這工具還原回來。

RansomwareFile name and extension
CryptXXX V1, V2, V3*{original file name}.crypt
TeslaCrypt V1**{original file name}.ECC
TeslaCrypt V2**{original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3{original file name}.XXX or TTT or MP3 or MICRO
TeslaCrypt V4File name and extension are unchanged
SNSLocker{Original file name}.RSNSLocked
AutoLocky{Original file name}.locky
下載趨勢科技解碼工具

使用方式可以參考 重灌狂人:https://briian.com/36414/trend-micro-ransomware-file-decryptor.html

最後,還是要宣導,不明軟體不要打開,防毒軟體要裝要更新,
反正也沒人能保證付了錢資料就會好,

所以我們絕不向恐怖份子妥協,最慘就是.....資料都不要了!

沒有留言:

張貼留言