當看見加密勒索的畫面時,就意味著你有機會失去全部檔案,尤其沒有備份的習慣,而又沒有公開的解密工具。近日在專門打擊加密勒索的 nomoreransom 網站上,就加入了針對 Yatron 和 FortuneCrypt 兩款程式的免費解密工具,如果不幸中招的人士不妨一試。
製作加密勒索程式的兩大取向
雖然現時網絡罪犯有大量方法製作和散播加密勒索程式,但是有兩種取向最為常見,第一種是網絡罪犯選擇只是重新設定現有惡意程式的源代碼,第二種是選擇自己編寫加密勒索程式,有時會採用非常獨特的語言,因此也出現了兩個喜訊。
Yatron 採用 Hidden Tear 代碼
第一個喜訊是研究人員成功製作出 Yatron 的免費解密工具。由為這加密勒索程式的作者以 Hidden Tear 的編碼為基礎去加工,它是一款知名的開源加密勒索程式,根據統計,去年卡巴斯機產品成功防護超過 600 次其變程感染 Trojan-Ransom.NSIL.Tear,最經常被攻擊的地方包括德國、中國、俄羅斯、印度和緬甸,而在眾多變種中,Yatron 可以從其副檔名來辨別。
不過,沒有檢查清楚就使用三方編碼會增加影響程式效能的重要漏洞風險,而這次因為存在加密方案的錯誤而令研究人員能夠製作出解密工具。
FortuneCrypt 由超入門級語言編制
FortuneCrypt 由 BlitzMax 語言編制,而該語言源於 BASIC,為專門讓初學者能夠容易學習而設,像從遊戲中學習一樣,但足以編制一般用途的應用程式,研究人員見過很多加密勒索程式由 C/C++、C#、Delphi、JS、Python 等語言編制,但 Blitz BASIC 就是第一次。
去年卡巴斯基產品記錄了 Torjan-Ransom-Win32.Crypren 家族的變種攻擊 (FortuneCrypt 是其中一款變種),最經常受到攻擊的地區包括俄羅斯、巴西、德國、南韓和伊朗。經過研究人員分析發現,加密方案十分弱而被加密的檔案可以容易復原,而免費解密工具亦因此而誕生。
免費解密工具
以上兩款解密工具已加入到 RakhniDecryptor 工具之內,有需要人士可以到以下連結尋找:
https://support.kaspersky.com/viruses/disinfection/10556
https://www.nomoreransom.org/en/decryption-tools.html
資料來源:Securelist
