下載與使用趨勢科技勒索病毒檔案解密工具

技術支援
解決方案編號 更新時間
1114221 2017/02/19 23:58 (PST)


對應產品 對應作業系統
OfficeScan - All;PC-cillin 10 - 2016 雲端版 - All;PC-cillin 2017 雲端版 - All;WFBS-SVC (SMB雲端防毒服務版) - All;Worry-Free Business Security Advanced (原CSM for SMB) - All;
Windows - 10 32-bit, 10 64-bit, 2003 Datacenter, 2003 Enterprise, 2003 Enterprise 64-bit, 2003 Home Server, 2003 Server R2, 2003 Small Business Server, 2003 Small Business Server R2, 2003 Standard, 2003 Standard 64-bit, 2008 Datacenter, 2008 Enterprise, 2008 Enterprise 64-bit, 2008 Essential Business Server, 2008 Server Core, 2008 Server Foundation, 2008 Server R2, 2008 Server R2 with Hyper-V(TM), 2008 Small Business Server, 2008 Standard, 2008 Standard 64-bit, 2008 Web Server Edition, 2011 Small Business Server Essentials, 2011 Small Business Server Standard, 2012 Enterprise, 2012 Server Essentials, 2012 Web Server Edition, 7 32-Bit, 7 64-Bit, 7 SP1 32-bit, 7 SP1 64-bit, 8.1 32-Bit, 8.1 64-Bit, Vista SP2 32-bit, Vista SP2 64-bit

問題描述

這份文件提供最新的趨勢科技勒索病毒檔案解密工具的說明及下載位置。此工具可試圖解開部分被勒索病毒家族加密的檔案。

 

● 重要提醒:

趨勢科技雖致力於不斷更新提供給客戶的工具,但勒索病毒的作者也在不斷改變方法與策略,因此對勒索病毒解密工具無法 100% 可以解密,加強防護機制才是根本之道,建議您參考下列資安建議以及趨勢科技產品的建議防護策略:

  1. 定期將您的重要檔案進行異地備份或雲端備份。

  2. 保持您的 Windows Update 或其他第三方軟體(如: Adobe Flash、Java、Microsoft Internet Explorer、Microsoft Silverlight)自動更新,避免舊版本弱點遭惡意利用。

  3. 始終更新最新版本趨勢科技防護軟體並套用最佳防護建議。

建議趨勢科技客戶可以瀏覽以下網頁得知勒索病毒最佳防護資訊:
個人與家庭用戶企業用戶

趨勢科技企業產品防護 Ransomware 勒索病毒最佳化建議

解決方案

此工具支援解密的勒索病毒家族,下表所列的勒索病毒種類及檔案類型是此工具最新版本可以解開的。

重要說明:

  • * - 被 CryptXXX V3 加密的檔案,可能無法完整還原成原始檔案(部分解密)。 詳細可參閱下方[關於 CryptXXX V3 重要說明]

  • ** - RansomwareFileDecryptor 1.0.xxxx MUI 僅能解密 TeslaCrypt V3、TeslaCrypt V4,因此若您被加密的類型屬 TeslaCrypt V1、TeslaCrypt V2,有另外下載 TeslacryptDecryptor 1.0.xxxx MUI 解密工具使用的需求,您可洽詢趨勢科技技術支援中心取得。

取得與執行解密工具

  • 執行後,需要請您同意使用者授權聲明(EULA),請點選 "Agree" 進行下一步。
  • 同意後,將會開啟工具的主要介面。請依照畫面指示一步一步進行檔案解密。
    Anti-Ransomware
[ Expand All ]

 

詳細操作步驟

步驟1:選擇勒索病毒名稱

在點選 "click here" 後,即可看到下圖。
Select Ransomware Name

注意:
大多數勒索病毒都使用純文字檔(.txt)或網頁檔案(.htm)通知使用者,他們的系統已經遭勒索病毒入侵。
從這樣的通知資訊就可以用來選擇勒索病毒的種類來解密檔案。
如果在判斷勒索病毒的種類有困難,請洽詢趨勢科技技術支援中心尋求協助。


步驟2:選擇被加密的檔案或資料夾

此工具可以對單一檔案或資料夾內所有檔案及資料夾嘗試解密。點選 "Select & Decrypt" 後,選擇資料夾或是檔案,再點選 "OK" 即可開始進行解密程序。
Select File

步驟3:開始解密

在選擇檔案或資料夾之後,此工具將開始掃描並自動對檔案解密。
Scanning in Progress
如果掃描目標是個資料夾,此工具將會先從目標資料夾收集檔案資訊來辨識哪些檔案需要解密。掃描過程中,進度調將會顯示解密的進度,工具畫面上也會更新有多少文件被加密及多少文件已經被解密。
此工具在解開部分勒索病毒檔案(如:TeslaCrypt)時會相當快速,但在某些類型(如:CryptXXX)可能相對花費時間較久。總共需要多少時間,還是要依照解密的目標資料夾中有多少檔案需要處理。
如果在掃描期間點選 "Stop",此掃描程序將會中斷。
Scanning Interrupted

步驟4:解密 CyptXXX V1 , XORIST , XORBAT , Nemucod (可選步驟)

由於被 CryptXXX V1 所加密的檔案,解密時需要使用者操作較多的步驟,因此請參考如下。
Click here
如上所述,CryptXXX V1 的解密會跳出另一個視窗請使用者協助提供檔案,因此使用者需要分別提供被加密未被加密檔案各一個。 (檔案大小越大越好)
file pair

步驟5:完成檔案解密

一旦掃描及解密的程序完成後,在工具的介面上將會顯示結果。
Scanning Complete
點選 "See encrypted files" 將會開啟被掃描檔案或資料夾的所在位置,解密後的檔案將出現在該資料夾中。

被加密的檔案名稱將會和加密之前的名稱相同,被勒索病毒加上的副檔名也會被移除。

如果原始檔案被加密後,檔名沒有被變更,那麼這類的檔案在解密之後,檔案名稱將會變成{原始檔案名稱} decrypted.{原始副檔名}。

當按下"Done"後,將會回到此工具的主要介面。重複步驟1及步驟2來對更多檔案解密。

 

關於 CryptXXX V3 重要說明

  1. 因為這個特定的勒索病毒使用的進階加密方式,被 CryptXXX V3 所加密的檔案只有部分的資料有機會被解開。

  2. 這個工具將會嘗試修復某些受到影響的檔案格式,包含 DOC、DOCX、XLS、XLSX、PPT、PPTX (常見的微軟Office)檔案。被修復的檔案會放在原始路徑下,並在原始檔案名稱後面添加 "_fixed"。當使用微軟Office開啟被修復的檔案,它可能會顯示訊息,並再次嘗試修復檔案,而這個程序或許可以將文件修好。請注意,由於微軟Office版本的不同版本,以及特定的檔案行為,無法保證這個程序會將文件修好。

  3. 目前被加密的檔案只有部分有機會可以被解密,但即便被解密也可能需要用到第三方檔案修復工具進行修復。 (例如:公開原始碼的 JPEGSnoop)

  4. 舉例來說,當照片或圖檔僅有部分內容被解密,可能會發生只看得到部分照片或圖檔的內容,如果該檔案是您的重要檔案,或許可以使用第三方工具或更專業的檔案復原服務來協助。

    在被 CryptXXX V3 勒索病毒加密之前的原始圖檔

    Trend Micro Ransomware File Decryptor

    部分資料經過解密後的圖檔

    Trend Micro Ransomware File Decryptor

  5. 趨勢科技技術支援中心對於第三方檔案復原工具與服務所能提供的支援相當有限,因此無法提供相關工具或諮詢給使用者。

 

解密 BadBlock

BadBlock可以加密重要的系統檔案,如果感染後,重新開機的話,可能會造成作業系統無法正常載入。因為這些檔案相當敏感,當工具試圖解開這些檔案,將會先備份原本的加密金鑰,並在檔案名稱加上 "_bbbak"。解密後,作業系統檔案將會被還原。非作業系統檔案,解密之後的檔案名稱將會多加 "_decrypted"。

BadBlock有不同感染系統的方法,在此也針對不同的狀況來嘗試解開被加密的檔案:

  1. 如果系統已經被感染,但還沒重新開機。 在這個狀況下,使用者可以嘗試執行這個解密工具,它會試圖解開受影響的檔案。
  2. 如果系統被感染後,已經重新開機且無法成功進到作業系統。 在這個狀況下,建議使用者從系統安裝光碟或還原光碟或其他方式,對作業系統進行修復,嘗試在該主機開機成功,然後嘗試執行解密工具解開其他檔案。
  3. 如果作業系統無法經由系統安裝光碟修復。 當此狀況,使用者需要將該主機的硬碟拿到另一台正常的主機接上,再從正常主機上執行解密工具。

 

CERBER 解密限制

CERBER 解密由於需要嘗試定位被加密文件的計算,因此必須在被加密的原電腦執行(不可將檔案轉移至其他電腦解密)。
由於 CERBER 解密工具可能需要數小時的執行時間,但若被加密的電腦CPU核心較多,反而會增加加密的複雜性,導致解密的成功率降低。
CERBER 解密的檔案可能僅部分解密,會需要後續使用第三方工具或更專業的檔案復原服務來協助修復。

 

取得檔案解密工具的紀錄檔

趨勢科技勒索病毒檔案解密工具在執行過程中,會解壓縮到以下路徑的暫存資料夾:

%User%\AppData\Local\Temp\TMRDTSelfExtract\

在完成一次掃描後,在這個暫存資料夾中,將會出現一個名為 log 的資料夾,其中紀載著解密過程的詳細資訊與時間點。

暫存資料夾的截圖

Temp directory example

log 資料夾中的紀錄檔範例:

Logs in subfolder example

 

CBT 影片介紹

趨勢科技製作了教學影片(CBT, Computer Based Training)解說如何執行此工具。請點選這裡觀看影片。

 

工具限制

  1. 將 TeslaCrypt V1、TeslaCrypt V2 解密功能從原本的解密工具中分離出來額外提供。
  2. 目前並不支援解密 CryptXXX V2、CryptXXX V3 所加密的純文字檔案。
  3. 目前並不支援解密 CryptXXX V3 加密過的壓縮檔或解密檔案大小超過13MB。
  4. 特別注意:被 CryptXXX V3 加密的檔案無法 100% 修復成原始檔案(部分解密)。 詳細可參閱上方[關於 CryptXXX V3 重要說明]
  5. Crypt V4, V5 透過解密工具可能會無法正常復原原始檔案名稱。每單個檔案解密可能需要長達2小時時間。
  6. LeChiffre 解密由於需要特定的電腦名稱與使用者名稱,因此需要在發生問題的原裝置上執行。

 

檔案驗證 (Checksums)

    • RansomwareFileDecryptor 1.0.1658 MUI.exe 檔案上傳時間為 2017年2月17日 15:00 (格林威治標準時間)
    • MD5: b4d8ea5e0972e5062b4acc5e2088dbfe
    • SHA-256: b3e9010e73465dcb81c991ea841512a7e0b22af2ef2d6b3e3b1e98a59f0c0594


評定這個解決方案
此解決方案是否能解決您的問題?

請提供您的寶貴意見,幫助我們改進這一解決方案。

 
  *注意! 此為諮詢百科收集建議使用, 系統不會提供任何回覆
 

 

透過以下社群網站聯絡我們