勒索病毒再次更新瑞星快速發(fā)布解密工具

瑞星安全專家捕獲到CryptON勒索病毒的最新變種，該病毒通過弱口令進(jìn)行攻擊，導(dǎo)致用戶電腦除系統(tǒng)文件外所有類型文件均被加密，同時該最新變種可加密更多的電腦數(shù)據(jù)。由于CryptON勒索病毒最新變種使用對稱算法加密文件，并且密鑰存儲在本地，因此可以解密。瑞星現(xiàn)發(fā)布該病毒變種解密工具，中招用戶可在官網(wǎng)下載使用。

CryptON勒索病毒，常常也被稱為X3M，Nemesis，Cry3勒索，最早于2017年出現(xiàn)，最新版本會將被加密的文件修改為．WECANHELP后綴，該病毒作者通過遠(yuǎn)程方式利用弱口令將勒索病毒植入到被害者電腦內(nèi)，進(jìn)而控制該電腦，加密所有文件后，在桌面與所有被加密的文件目錄下留有勒索文本，要求受害者通過郵件方式聯(lián)系并索要贖金。

勒索病毒再次更新瑞星快速發(fā)布解密工具圖一

不僅如此，病毒作者還可以利用最初攻擊的電腦抓取更多其他設(shè)備信息，以便擴(kuò)大攻擊范圍。在CryptON勒索病毒最新版本中，病毒作者還擴(kuò)大了單個文件數(shù)據(jù)塊的加密范圍，目的是為了防止部分文件數(shù)據(jù)由于加密范圍太小，導(dǎo)致該文件沒有被造成實質(zhì)性的影響，因此一旦中招，將造成大面積電腦癱瘓，廣大用戶應(yīng)提高警惕，加強(qiáng)防范措施。

目前，瑞星公司已經(jīng)發(fā)布了該病毒最新版本的解密工具，中招用戶可在官網(wǎng)下載使用。同時，廣大用戶可下載瑞星之劍，便于有效攔截該勒索病毒。

防御措施：

1．不適用弱口令賬號密碼；

2．提高上網(wǎng)安全意識，做好重要數(shù)據(jù)備份；

3．安裝殺毒軟件保存防御開啟；

勒索病毒再次更新瑞星快速發(fā)布解密工具圖二

4．安裝勒索病毒防御軟件。

勒索病毒再次更新瑞星快速發(fā)布解密工具圖三

解密工具使用說明：

勒索病毒在工作環(huán)境釋放了藏有密鑰的文件temp000000．txt。解密工具需要與該密鑰文件放置在同一目錄下才可以解密。

保證解密工具與病毒產(chǎn)生的密鑰文件在同一目錄下。

勒索病毒再次更新瑞星快速發(fā)布解密工具圖四

打開瑞星解密工具

解密選項配置

（1）輸出解密日志，勾選該項可以在解密完成后列出解密日志以供參考；

（2）保留／刪除解密文件，用戶選擇是否在解密完成后保留原始的加密文件。

開始解密

（1）選擇指定目錄進(jìn)行解密

點(diǎn)擊“瀏覽”按鈕

選擇一個需要解密的文件夾，點(diǎn)擊“確定”按鈕。

此時點(diǎn)擊“解密”按鈕即刻開始解密。

在解密完成后彈出日志文本，并且提示解密結(jié)束。

（2）全盤解密

直接點(diǎn)擊“全盤解密”按鈕，即可開始解密．（全盤解密將會檢索所有磁盤，時間較長）。

恢復(fù)磁盤中的所有加密文件并輸出日志。

生成解密文件后，可同時保留加密文件。

注意事項：

未完全解密前，請不要關(guān)閉解密工具或刪除解密文件。

每臺機(jī)器的解密文本（temp000000．txt）密鑰數(shù)據(jù)是不相同的，因此不能將同一份密鑰文本作用于其他機(jī)器，每臺機(jī)器必須使用各自的解密文本。

關(guān)于如何找到temp000000．txt：

通常情況下，勒索病毒產(chǎn)生的temp000000．txt文件與病毒程序在同一目錄下。由于多數(shù)情況下可能并非由用戶操作導(dǎo)致勒索病毒執(zhí)行，在不知道temp000000．txt所在位置時，建議通過文件名搜索磁盤，在找到文件后，將文件與解密工具放置于同一目錄中。