勒索軟體辨識與解密工具
- 發布單位:TWCERT/CC
- 更新日期:2023-01-05
- 點閱次數:18855
勒索軟體透過資料加密等手法要脅受害者,要求支付贖金以取回受加密的資料。目前防毒軟體廠商針對部分勒索軟體提供免費解密工具,本篇第二章節提供線上勒索軟體辨識服務,協助辨識勒索軟體之名稱。本篇第三章節整理了解密工具清單,使用者可於辨識服務網頁中搜尋勒索軟體名稱找到對應的解密工具,少數勒索軟體有機會使用這些工具嘗試解密。
1. 簡介
加密勒索軟體Ransomware為一種透過資料加密手法讓受害者失去資料存取或系統的控制的惡意程式,且如不支付贖金給犯罪組織,則將無法取回受加密的資料。因犯罪組織利用這種不法模式獲利,也是其被稱為「勒索軟體」的原因。
現今的勒索軟體精密複雜且侵入性強大,透過發展各種攻擊手段與支援多國語言、跨平台等方式感染受害者設備。目前防毒軟體廠商對於部分勒索軟體已有可應對的免費解密工具,如不慎受到勒索軟體攻擊,可先參考本篇第二章節,辨識勒索軟體名稱後,透過第三章節的解密工具清單,搜尋是否有可支援的解密工具。
2. 勒索病毒種類辨識
勒索軟體種類眾多,為了取得對應的解密工具,需先正確地辨識勒索軟體名稱。本篇提供以下線上勒索軟體辨識服務,可透過提供 ‘勒索內容’ (如: 勒索訊息、勒索電子郵件、網站網址等)與 ‘被加密的檔案’進行特徵比對,判定勒索軟體名稱。
2.1 ID Ransomware
由MalwareHunterTeam提供,可辨識超過1000種勒索軟體。使用者可透過上傳加密檔案、勒索訊息(如無勒索訊息,可提供勒索電子郵件、網站網址) ,即可進行辨識。網頁上傳介面如圖1 所示。勒索軟體名稱辨識結果示意圖如圖2紅框處所示。
網址請參考: ID Ransomware 官網
圖1、ID Ransomware上傳頁面
圖2、ID Ransomware 勒索軟體名稱的辨識結果示意圖(紅框處)
2.2 Crypto Sheriff
由The No More Ransom Project提供,可辨識勒索病毒並提供對應的免費解密工具。使用者可透過上傳兩個加密檔案、上傳勒索訊息檔案或是提供勒索訊息內容的電子郵件、網站網址、洋蔥網路網址、比特幣網址,即可進行辨識。上傳網頁介面如圖3所示。結果示意圖如圖4所示。
網址請參考: No More Ransom 官網
圖3、No More Ransom 解碼警長頁面
圖4、解碼警長勒索軟體名稱辨識結果示意圖 (紅框處)
2.3 Bitdefender recognition tool
由Bitdefender提供,可以辨識勒索軟體並提供免費的解密工具。使用者可以下載勒索軟體辨識工具。辨識方法有兩種如圖5,第一種是透過勒索訊息檔案辨識,第二種是透過被加密的檔案進行辨識,可以選擇其中一種方法進行辨識,但是如果沒有選擇勒索訊息進行辨識,辨識的精準度會較低。
網址請參考: Bitdefender 官網
圖5、Bitdefender辨識工具畫面
3. 解密工具
勒索軟體名稱確認之後,可透過本章節所提供之解鎖工具網頁清單,搜尋勒索軟體名稱或是瀏覽解密工具清單找到對應的解密工具,少數勒索軟體有機會使用以下工具嘗試解密。勒索軟體名稱辨識方式請參考本篇第二章節。
3.1 No More Ransom 解鎖工具
由No More Ransom Project提供。使用者可透過搜尋勒索軟體名稱(紅框處)或是瀏覽解鎖工具列表(藍框處) (圖6) ,查看工具使用指南與下載(圖7) 。
網址請參考: No More Ransom 官網
圖6、No More Ransom 解鎖工具列表與搜尋頁面
圖7、No More Ransom解鎖工具之說明、使用指南與工具下載連結頁面
3.2 Trend Micro Ransomware File Decryptor
由Trend Micro 提供。使用者可下載 (綠框處)與執行RansomwareFileDecryptor工具,選擇勒索軟體名稱與欲解密的檔案或資料夾進行解密(紅框處)。頁面如圖8所示。
網址請參考: Trend Micro 官網
圖8、Trend Micro Ransomware File Decryptor下載與說明頁面
3.3 卡巴斯基 Free Ransomware Decryptors
由卡巴斯基提供。使用者可瀏覽解密工具列(藍框處)表或是搜尋名稱(紅框處),下載所需之解密工具進行解密。搜尋畫面與列表如圖9所示。
網址請參考: 卡巴斯基官網
圖9、卡巴斯基Free Ransomware Decryptor 解密工具搜尋與瀏覽頁面
3.4 AVG 免費軟體解密工具
由AVG提供。使用者可瀏覽解密工具列表(圖10) (藍框處),檢視解密工具說明與下載修正程式進行解密(圖11)。
網址請參考: AVG 官網
圖10、AVG免費勒索軟體解密工具列表頁面
圖11、工具說明、勒索訊息畫面與修正程式下載連結 (示意圖)
3.5 EMSI SOFT Free Ransomware Decryption Tools
由EMSI SOFT提供。使用者可瀏覽解密工具列表(藍框處),下載所需解密工具(圖12)。
網址請參考: EMISI SOFT 官網
圖12、EMISI SOFT Free Ransomware Decryption Tool 解密工具列表頁面
3.6 McAfee Ransomware Recover (Mr2)
Mr2 為McAfee開發之解密工具,採取指令列介面,且定期更新支援的勒索軟體主類。使用者可透過圖13下載安裝Mr2 (綠框處),執行後可透過指令檢視支援解密的勒索軟體列表與進行解密,如圖14所示。
網址請參考: McAfee 官網
使用Mr2破解勒索軟體 Stampado之範例與說明:
Stampado 勒索訊息如圖15所示,內容提示受害者需透過攻擊者電子郵件 (圖14紅框處)聯繫以取得解鎖碼輸入(圖15綠框處)進行檔案解密。
(a) 啟動Mr2後,輸入 ‘MfeDecrypt -list’指令(圖16綠框處)搜尋 ‘Stampado’勒索軟體的解密工具(圖16紅框處)
(b) 執行 ‘MfeDecrypt -get stampado -ver 1.0.0’指令下載Stampado 解密工具。(圖17紅框處)
(c) 執行 ‘MfeDecrypt -about stampado -ver 1.0.0’指令查看解密工具使用方式(圖18紅框處)。
(d) 透過 ‘MfeDecrypt -run stampado -ver 1.0.0 -args “-e FileUnlocker64@mail2tor.com’命令執行解密工具(圖19紅框處),提供圖15紅框處的勒索聯絡電子郵件,取得解鎖碼(圖19綠框處),並於圖14的勒索訊息畫面輸入解鎖碼進行檔案解密。
圖13、McAfee Ransomware Recover (Mr2) 下載頁面
圖14、Mr2 執行畫面,包含工具指令與說明
圖15、Stampado勒索訊息 (示意圖)
圖16、Mr2支援Stampado解密與顯示所有勒索軟體解密支援的命令 (示意圖)
圖17、下載勒索軟體Stampado解密工具的命令 (示意圖)
圖18、Stampado解密工具命令使用方式 (示意圖)
圖19、取得Stampado解鎖碼 (示意圖)
3.7 Avast Free Ransomware Decryption Tools
由Avast提供。使用者可瀏覽解密工具列表(圖20) (藍框處),檢視解密工具說明與下載修正程式進行解密(圖21)。
網址請參考: Avast 官網
圖20、Avast Free Ransomware Decryption Tool 解碼工具列表頁面
圖21、解密工具說明、勒索訊息截圖與下載連結 (示意圖)
3.8 Quick Heal Free Decryption Tool
由Quick Heal提供。使用者可下載支援多種勒索軟體解密的工具進行解密(圖22)。執行工具後,會自動進行掃描加密檔案進行解密。
網址請參考: Quick Heal 官網
圖22、Quick Heal Free Ransomware Decryption Tool 解密工具下載頁面
3.9 MDS Ransomware Decryption Tools
由MDR提供。使用者可瀏覽解密工具列表,下載所需解密工具進行解密,如圖23所示。
網址請參考: MDS 官網
圖23、MDS Ransomware Decryption Tools 解密工具列表
3.9 Prometheus Decryptor
由奧義智慧提供。使用者可以下載安裝奧義提供的Windows版本解密工具,根據電腦的環境選擇不同的位元並執行,可以解開被Prometheus勒索軟體加密的檔案。解密工具如圖24所示。
網址請參考: 奧義智慧
圖24、奧義智慧解密工具
3.10 Bitdefender免費解密工具
由Bitdefender提供。使用者可以瀏覽Bitdefender網站,查看是否有可以使用的解密工具如圖25,在進入勒索軟體的分享文章後,可以下載勒索軟體解密工具如圖26。
網址請參考: Bitdefender
圖25、Bitdefender查詢是否有可以使用的解密工具畫面
圖26、下載勒索軟體解密工具(示意圖)
檔案下載
- 勒索軟體辨識與解密工具PDF