TMT观察网_独特视角观察TMT行业

區(qū)塊鏈安全公司W(wǎng)F 曲速未來 前言：

作為一種古老的黑客不正當獲利的手段，由于虛擬貨幣的自身特性，勒索軟件在加密貨幣的領(lǐng)地上煥發(fā)出了新的活力。加密貨幣作為贖金，已經(jīng)成了勒索軟件的基本配置。

今天我們將為大家介紹如何手動刪除勒索軟件。

什么是勒索軟件？

勒索軟件可以分為兩種不同的類型; 屏幕鎖定器和文件加密器。

屏幕鎖定器通常只會阻止您訪問Windows。他們要求付款以解鎖系統(tǒng)，但不會造成任何實際損害。一個特別受歡迎的偽裝方法是假裝執(zhí)法，聲稱他們已經(jīng)發(fā)現(xiàn)存在非法的活動。雖然繁瑣，但從這種勒索軟件攻擊中恢復通常非常簡單，并且可以重新獲得對系統(tǒng)的訪問權(quán)限。

另一種文件加密器則是加密用戶機器上的個人文件或整個硬盤驅(qū)動器，阻止用戶訪問他們的文件，除非他們支付贖金。但并非所有文件加密勒索軟件都使用強加密技術(shù)，因此在許多情況下，用戶無需付費即可恢復其數(shù)據(jù)。

對于這篇文章，我們主要介紹更常見的文件加密器類型的勒索軟件。由于勒索軟件家族不斷變化和發(fā)展，我們將演示一個典型的恢復程序，使用較老的勒索軟件家族，常青樹Xorist。

如果你被感染該怎么辦？

這是每個用戶和管理員的噩夢：你發(fā)現(xiàn)自己感染了勒索軟件，你正盯著屏幕上的一條消息，要求你花費數(shù)千美元來解密你的文件。你該怎么辦？不要驚慌。勒索軟件可能會向您顯示時間限制，但重要的是避免采取錯誤的步驟，這可能會使您更難恢復文件。

第1步：識別受感染的計算機

首先，找到受感染的計算機。這是非常重要的第一步，應該在您發(fā)現(xiàn)勒索軟件感染時立即完成。您通常可以通過檢查網(wǎng)絡(luò)上的贖金票據(jù)文件的所有者或文件共享來找到勒索軟件所在的計算機。找到受感染的計算機后，斷開它們與網(wǎng)絡(luò)的連接，以便勒索軟件無法橫向傳播到網(wǎng)絡(luò)上的其他計算機，并在勒索軟件尚未完成時阻止加密更多文件。

第2步：檢查勒索軟件是否仍然存在

其次，一旦受感染的系統(tǒng)斷開連接，重要的是要弄清楚勒索軟件是否仍在運行或存在于系統(tǒng)上。如果是這樣，那么最好在清理系統(tǒng)之前獲取內(nèi)存的進程轉(zhuǎn)儲和惡意軟件的副本。這很重要，因為特定的勒索軟件系列可能仍在運行中。通常，建議將任何惡意文件上傳到名為VirusTotal的服務。VirusTotal由來自60多個不同安全供應商的防病毒掃描程序和其他安全工具提供支持，可以告訴您文件是否干凈，或者如果文件被檢測為惡意軟件，則提供檢測名稱。

第3步：找出您正在處理的勒索軟件

第三，將贖金票據(jù)和加密文件的副本上傳到ID-Ransomware（IDR）。IDR是一項免費服務，經(jīng)過培訓，可根據(jù)加密文件和勒索軟件中留下的線索識別勒索軟件。一旦你知道你正在處理哪種勒索軟件，就會更容易看出是否有合適的解密器以及是否有關(guān)于受害者如何被感染的信息。

第4步：清理

最后，我們通過下述案例了解如何清理。

如何刪除Xorist

大多數(shù)情況下手動移除是不必要的。勒索軟件經(jīng)常自我刪除，因為它已經(jīng)完成了加密文件和丟棄要求勒索贖金的主要目的。話雖這么說，一些勒索軟件還會將自己安裝到自動啟動位置，以加密以前未加密的任何新數(shù)據(jù)。其他一些勒索軟件可能會附帶其他惡意軟件，這可能會造成進一步的破壞。

由于勒索軟件不斷發(fā)展，我們決定選擇一個相當古老的勒索軟件家族，這個家庭仍在使用中，并且在它首次發(fā)布后的幾年內(nèi)占據(jù)了所有勒索軟件攻擊的很大一部分：Xorist。雖然肯定有更復雜的勒索軟件變種，但大多數(shù)都沒有展現(xiàn)出Xorist的持久力。

Xorist是一個勒索軟件構(gòu)建工具包，即使是初級的網(wǎng)絡(luò)犯罪分子也可以使用的勒索軟件。諸如背景圖像，勒索軟件筆記，要定位的文件擴展名和解鎖密碼等內(nèi)容都可以完全自定義。我們從攻擊者多年來產(chǎn)生的成千上萬的Xorist變體中挑選了一個隨機變體。

當您第一次看到受感染的系統(tǒng)時，您會立即看到背景已更改為可怕的注釋，并且所有圖標都已更改為頭骨。

首先，我們要檢查勒索軟件或其他惡意軟件是否仍在使用Process Explorer或Process Hacker運行。在這種情況下，勒索軟件在完成更改后退出，并且沒有其他惡意軟件在運行。但是，如果您確實發(fā)現(xiàn)計算機上運行的進程看起來像惡意軟件，請確保在掛起或終止它們之前創(chuàng)建它們的完整進程內(nèi)存轉(zhuǎn)儲。要做到這一點，只需右鍵單擊流程列表中的流程，然后在Process Hacker中選擇“Create dump file ...”或在Process Explorer中選擇“Create Dump / Create Full Dump ...”。

接下來，我們要使用一個名為Autoruns的便捷工具檢查加載點（大多數(shù)程序在啟動時可以運行的方式）。加載Autoruns后，我們在Run鍵中看到一個值，該圖標與我們現(xiàn)在顯示的所有文件一樣。通過查看文件所在的位置（在temp中）并通過在VirusTotal上掃描（右鍵并選擇Submit to VirusTotal）進一步調(diào)查，我們可以確定這可能是我們的勒索軟件文件。

有關(guān)在VirusTotal上掃描文件的一點需要注意的是，有時掃描程序可能會出現(xiàn)誤報。因此，如果一個文件只有一個或兩個檢測但看起來合法，則并不一定意味著該文件是惡意的。在這種情況下，將文件提交給我們可能會有所幫助，因此我們可以仔細查看。

但是，在這種情況下，考慮到檢測的數(shù)量 - 以及圖標和可疑位置 - 我們可以假設(shè)此文件是惡意的并且是感染源。因此，我們可以通過右鍵單擊該行并選擇“刪除”來刪除自動運行條目，或者我們可以通過取消選中條目前面的復選框來禁用它。

通常，每當您處理勒索軟件時，最好創(chuàng)建一個您找到的所有惡意可執(zhí)行文件的副本。您只需將它們?nèi)繌椭频揭粋€目錄中，然后將它們壓縮即可。歸檔惡意文件而不是刪除它們的原因非常簡單：在處理新的勒索軟件系列時，像我們這樣幫助勒索軟件受害者的公司將需要加密文件的勒索軟件可執(zhí)行文件以對其進行反向工程并查找缺陷它的實施。只有這樣，我們才能將這些缺陷變成一個有效的解密者。如果受害者刪除勒索軟件的可執(zhí)行文件，則此過程變得更加困難。

在我們解除了自動運行并取消歸檔勒索軟件可執(zhí)行文件后，我們會將贖金票據(jù)和一個加密文件提交給ID-Ransomware。這個過程很簡單，大多數(shù)用戶都不會按照網(wǎng)站上的說明進行操作。

ID Ransomware為我們正確識別勒索軟件系列，并且知道使用哪個解密器來獲取我們的文件。

在處理勒索軟件解密時，請記住它們可能并不完美。很多勒索軟件都是粗暴編程的。有些會直接損壞他們加密的部分文件而導致無法恢復損壞的部分。最好檢查解密器下載頁面上的使用信息，以確定是否存在任何此類限制以及如何正確使用解密器。

大多數(shù)解密器（包括我們的解密器）通常要求您擁有一個匹配的文件對，其中包含一個加密文件以及未加密的原始版本。許多受害者通常不知道如何獲得這些并認為不可能得到匹配的一對。但是，根據(jù)以下指針，他們通常會立即找到一個文件對：

       1.如果在下載目錄中加密了任何文件，只需再次下載該文件即可。

       2. 如果有任何加密的標準Windows文件，例如默認壁紙，只需從運行相同版本W(wǎng)indows的其他系統(tǒng)中復制相同的文件即可。

       3.檢查您發(fā)送的電子郵件文件夾，查看您發(fā)送給現(xiàn)在已加密的朋友或家人的任何文件，只需獲取原始表單即可發(fā)送電子郵件。

解密器通常還需要一些時間來執(zhí)行一些冗長的計算，以確定要使用的正確解密密鑰。因此，在解密者完成其工作時請耐心等待。

一旦我們下載了Xorist解密器并使用合適的文件對運行它，它就會開始進行攻擊以破壞加密：

完成后，解密器將通知我們該過程的結(jié)果：

單擊確定并開始解密過程后，我們將文件恢復：

大多數(shù)勒索軟件都需要額外的清理工作。首先，壁紙。使用標準Windows對話框可以輕松更改壁紙。只需右鍵單擊桌面上的空白區(qū)域，然后選擇“個性化”。然后將背景更改回您想要的背景：

在這種特殊情況下，勒索軟件還注冊了自己的文件擴展名（.cryptedx）并將其鏈接到勒索軟件可執(zhí)行文件。這就是為什么所有加密文件突然有一個頭骨圖標。刪除它有點棘手，需要使用Windows注冊表編輯器。

只需運行“regedit.exe”命令即可打開Windows注冊表編輯器。要進入“運行”對話框，請同時按Windows鍵和“R”鍵。

現(xiàn)在導航到HKEY_CLASSES_ROOT鍵。此注冊表項包含文件擴展名之間的所有鏈接以及它們鏈接到的應用程序。接下來，在HKEY_CLASSES_ROOT鍵中查找子鍵“.cryptedx”。你會發(fā)現(xiàn)類似的東西：

基本上有兩種方法可以在注冊表中設(shè)置文件擴展名。要使用的應用程序的信息直接存儲在文件擴展名子密鑰中，要么該信息是單獨存儲的，文件擴展名只鏈接到該其他條目。通過檢查文件擴展名密鑰本身是否具有任何子密鑰來確定哪個是哪種方法。這顯然不是這里的情況，否則，它將有一個小箭頭展開左側(cè)導航窗格中的子鍵。因此我們將記下默認值（“NTGQBAPSQKOSXWE”），然后刪除密鑰。

接下來，我們查看NTGQBAPSQKOSXWE子鍵。這是表示運行應用程序的關(guān)鍵：

刪除最后一個密鑰將完全刪除惡意軟件放置的擴展注冊。

最后但并非最不重要的是，我們將進行最后一些清理工作。大多數(shù)解密器將保留贖金票據(jù)以及加密文件，以防出現(xiàn)任何問題。畢竟，擁有加密備份仍然比完全沒有備份更好。但是，一旦確定您的文件已經(jīng)恢復并且沒有損壞，它們就會變得不必要的混亂。

因此，在我們的最后一步中，我們使用Windows文件搜索來查找所有加密文件以及所有贖金備注以刪除它們：

只需選擇all并刪除任何其他文件，我們就完成了對勒索軟件感染和文件恢復的完全刪除。

如何避免勒索軟件？

簡而言之，勒索軟件只是普通的惡意軟件。因此，針對普通惡意軟件的所有常用過程對于勒索軟件同樣有效，例如：

1.使您的軟件和操作系統(tǒng)保持最新，以避免成為漏洞攻擊和偷渡式下載的目標。

2.不要從盜版軟件或從您不認識的來源打開電子郵件附件等高風險行為。即使您確實了解來源，也要使用常識。由于大多數(shù)文檔格式已經(jīng)過壓縮，因此沒有理由任何人在ZIP存檔中包裝發(fā)票，訂單確認或其他任何內(nèi)容并通過電子郵件發(fā)送。在這種情況下，ZIP不會減小電子郵件的大小，而只是用于通過過濾掉可能的惡意附件的附件過濾器。

3.使用可靠的防病毒和反惡意軟件程序來保護您的安全。

區(qū)塊鏈安全公司W(wǎng)F曲速未來 觀點：

您可以采取一些額外的步驟來保護自己。備份是最重要的一個。雖然備份不能保護您免受勒索軟件的侵害，但它們確實有助于減輕損失。備份的一般規(guī)則是“3-2-1”。擁有3份重要數(shù)據(jù)。您的系統(tǒng)無法訪問其中2個副本。其中1份副本應存放在異地。