問題描述:
這份文件提供最新的趨勢科技勒索病毒檔案解密工具(截至目前最新版本為v1.0.532)的說明及下載位置。此工具可試圖解開部分被勒索病毒家族加密的檔案。
重要提醒:
趨勢科技雖致力於不斷更新提供給客戶的工具,但 Ransomeware 的作者也在不斷改變方法與策略,因此對 Ransomware 解密工具無法 100% 可以解密,加強防護機制才是根本之道,建議您參考下列資安建議以及趨勢科技產品的建議防護策略:
1. 定期將您的重要檔案進行異地備份或雲端備份。
2. 保持您的 Windows Update 或其他第三方軟體(如: Adobe Flash、Java、Microsoft Internet Explorer、Microsoft Silverlight)自動更新,避免舊版本弱點遭惡意利用。
3. 始終更新最新版本趨勢科技防護軟體並套用最佳防護建議。
建議趨勢科技客戶可以瀏覽以下網頁得知 Ransomware 最佳防護資訊:
個人與家庭用戶 或 企業用戶
趨勢科技企業產品防護 Ransomware 勒贖病毒最佳化建議
如何取得與執行解密工具:
1. 點選 "下載" 以取得最新版本的趨勢科技勒索病毒檔案解密工具。
解壓縮後,請執行其中的 RansomwareFileDecryptor 1.0.xxx.exe 檔案。
2. 執行後,需要請您同意使用者授權聲明(EULA),請點選 "Agree" 進行下一步。
3. 同意後,將會開啟工具的主要介面。請依照畫面指示一步一步進行檔案解密。
詳細操作步驟:
步驟1:選擇勒索病毒名稱
注意:
大多數勒索病毒都使用純文字檔(.txt)或網頁檔案(.htm)通知使用者,他們的系統已經遭勒索病毒入侵。
從這樣的通知資訊就可以用來選擇勒索病毒的種類來解密檔案。
如果在判斷勒索病毒的種類有困難,請洽詢趨勢科技技術支援中心尋求協助。
步驟2:選擇被加密的檔案或資料夾
此工具可以對單一檔案或資料夾內所有檔案及資料夾嘗試解密。點選 "Select & Decrypt" 後,選擇資料夾或是檔案,再點選 "OK" 即可開始進行解密程序。
步驟3:開始解密
如果掃描目標是個資料夾,此工具將會先從目標資料夾收集檔案資訊來辨識哪些檔案需要解密。掃描過程中,進度調將會顯示解密的進度,工具畫面上也會更新有多少文件被加密及多少文件已經被解密。
此工具在解開部分勒索病毒檔案(如:TeslaCrypt)時會相當快速,但在某些類型(如:CryptXXX)可能相對花費時間較久。總共需要多少時間,還是要依照解密的目標資料夾中有多少檔案需要處理。
步驟4:完成檔案解密一旦掃描及解密的程序完成後,在工具的介面上將會顯示結果。
點選 "See encrypted files" 將會開啟被掃描檔案或資料夾的所在位置,解密後的檔案將出現在該資料夾中。
被加密的檔案名稱將會和加密之前的名稱相同,被勒索病毒加上的副檔名也會被移除。
如果原始檔案被加密後,檔名沒有被變更,那麼這類的檔案在解密之後,檔案名稱將會變成{原始檔案名稱} decrypted.{原始副檔名}。
當按下"Done"後,將會回到此工具的主要介面。重複步驟1及步驟2來對更多檔案解密。
CBT 影片介紹:
趨勢科技製作了教學影片(CBT, Computer Based Training)解說如何執行此工具。請點選這裡觀看影片。
工具限制:
1. 此工具目前並不支援解密 TeslaCrypt V2 所加密的檔案,檔案格式為{原始檔名}.VVV 或 CCC 或 ZZZ 或 AAA 或 ABC。
2. 並非所有 CryptXXX 加密的檔案(副檔名被加上.crypt)都可以被這個工具解開。
3. 此工具目前並不支援解密 CryptXXX 2.0 所加密的純文字檔案。
檔案驗證(Checksums):
· RansomwareFileDecryptor 1.0.1532 MUI.exe
檔案上傳時間為 2016年5月26日 17:00(格林威治標準時間)
· MD5: 8af2f67b98181cc9d14ae41991cf8533
· SHA-256: 1cc2ce01c3e3ddfb25763849e2f771384687a1414a2852deb604c5b5651eba54
資料來源:趨勢科技技術支援知識庫