讀者來函照登:
冒昧耽誤貴司一點點時間,好友向我推薦貴司,說你們很專業在儲存相關技術,能否請教一下:
家人借用電腦時使用IE(我很久沒更新IE)上了一個線上片站,疑似點擊到一則廣告,結果整部電腦遭勒索加密。經觀察是之前韓國變種勒索病毒MY DECRYPTOR ( Magniber )
經我外行了解,這種病毒加密是針對每台電腦的機碼隨機加密,所以針對每台電腦的加密解法都不一樣...我跑過了以下三大勒索救援網站,很遺憾都沒有可對應的方案可解。
https://www.emsisoft.com/ransomware-decryption-tools/
https://www.nomoreransom.org/decryption-tools.html
https://id-ransomware.malwarehunterteam.com/
1. 請問依貴司專業理解,這支病毒是否確實如同我所認知,每台電腦解法(鎖碼)都不一樣,如果我不交出我的電腦給解密機構嘗試解碼,基本上是100%等不到有人解密的,因為世上不太可能會有第二組跟我一模一樣的電腦加密?
2. 承上,如果我的認知是正確的...能否請貴司建議一下該怎麼進行下一步?
OSSLab回
加解密關鍵點都必須有密鑰,現在勒索病毒不會有單一固定密鑰.市面上解密工具真實狀況如下
1.在案發當時對電腦主機做記憶體鑑識取得密
2.像Satan病毒的密鑰是會在被加密檔案檔尾的Hardware +Pulic ID+固定值產生不同的密鑰
3.有資安專家付完贖金後把病毒密鑰服務器打下來如
muhstik
https://pastebin.com/N8ahWBni
4.GandCrab 是自己收山了,國際刑警跟資安公司合作從CC server找出密鑰
所以現成來講 確實一般用戶資料都是小檔案會全加密,遇到勒索病毒若沒密鑰確實沒有啥好做法.
但勒索病毒習慣性對DB格式檔案不會做全加密.
因此還有不少機會可以做資料救援處理
OSSLab Geek Lab 會盡力處理與讓你核對
當然常備份是一定要的.
#OSSLab #資料救援
勒索病毒解碼 在 [求救] 勒索病毒,解碼問題- 看板AntiVirus - 批踢踢實業坊 的推薦與評價
前幾天中了一個勒索病毒,被鎖住的檔案副檔名 hqpixybrk ,
上網查了一下,沒甚麼相關資訊,也查不到病毒名稱。
我用系統還原,把病毒處理掉,然後開始救回檔案,
我用 https://www.avast.com/c-ransomware 裡面的工具解碼,
但是解碼工具都會要上傳一個 encrypted file 加密檔案,
和一個 original file 去比對找出解碼序列,但是我上傳兩個檔案以後卻無法繼續,
有人知道發生甚麼事情了嗎? 我下一步的按鈕是灰色的,沒辦法繼續下去。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.65.248.72
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1538465729.A.7F5.html
※ 編輯: supermicro (61.65.248.72), 10/02/2018 16:16:28
... <看更多>