No More Ransom專案致力於為勒索軟體的受害者提供説明。近期,該專案有一個好消息要向大家報告:比利時警方與卡巴斯基實驗室通力合作,想盡辦法取得了金鑰來恢復使用新版本Cryakl勒索軟體(也稱為Fantomas)加密的檔。更新後的解密工具已經可以在該項目的網站上提供。

什麼是Cryakl?
木馬勒索軟體Cryakl(Trojan-Ransom.Win32.Cryakl)一開始是以歸檔形式通過電子郵件附件分發的,這類電子郵件表面看似乎是來自仲裁法庭,和某些涉嫌違法行為有關係。這類郵件中的內容讓人心煩意亂,甚至那些更有警惕心的人也很可能會點擊附件。隨著時間推移,電子郵件越來越多樣化,有的郵件看起來像是當地房主聯合會等組織發來的。
對受害者電腦上的檔加密後,Cryakl會創建一個長金鑰,並將其發送到命令控制(C&C)伺服器。沒有此金鑰,想要恢復被該惡意軟體鎖定的檔幾乎是不可能的。在此之後,Cryakl會將桌面壁紙替換為惡意軟體發展者的聯繫詳細資訊以及贖金要求。Cryakl還會顯示1964年法國電影中的反派角色Fantomas(方湯瑪斯)所戴面具的圖像,因此這也是該惡意軟體另一個名字的由來。Cryakl主要針對的是俄羅斯使用者,因此相關資訊大部分用俄語提供。
成功案例
正如我們已經前面說過的,我們的專家與比利時警方攜手努力,成功獲得了主金鑰。這一調查過程從電腦犯罪部門瞭解比利時勒索軟體受害者的情況開始,隨後他們在鄰國發現了一台命令控制伺服器。在比利時聯邦檢察官牽頭領導下,開展了一項行動中斷了該伺服器,同時還中斷了其他幾台從被感染電腦接收主金鑰的命令控制伺服器。接下來,卡巴斯基實驗室介入,開始協助執法機構尋找破解金鑰,這並不是第一次了。和以往一樣,合作取得了極好的結果:我們的專家説明對找到的資料進行分析,最終提取到瞭解密金鑰。
目前,金鑰已經添加到No More Ransom網站上的RakhniDecryptor工具中,比利時聯邦員警如今已是該項目的官方合作夥伴。No More Ransom自2016年7月成立以來,迄今為止已經成功地為數以萬計的人提供免費解密器,解密被勒索軟體鎖定而無法使用的檔,使網路勒索郵件開發者勒索美夢破滅,至少使用戶少支付1000萬歐元的贖金。
如何解救被Cryakl勒索軟體加密的檔
No More Ransom網站提供了兩個工具,用於解密被Cryakl鎖定的文件。其中一個工具是RannohDecryptor,大約自2016年起提供,適用於舊版Cryakl。可以在NoMoreRansom.org下載,在此處可獲取解密說明。
最近,我們更新了另一個工具RakhniDecryptor,在其中添加了從比利時警方繳獲的伺服器中獲取的主金鑰。此工具可以從同一網站下載;說明在這裡提供。被新版Cryakl加密的檔需要使用RakhniDecryptor來解密。不管使用哪一種工具,都應該能使被Cryakl感染的檔案修復到完全正常狀態。
未來如何保持安全
在處理加密惡意軟體時,預防遠比治療更簡單、花的錢也少得多。換句話說,加強自身防禦,安心睡個好覺要比焦頭爛額地去解決文件加密要好得多。在此,我們想與大家分享幾點預防性檔案保護建議:
1.始終將最重要文件的副本保存在其他位置:雲中、其他驅動器、記憶棒或其他電腦上。有關備份選項的更多詳細資訊,請訪問此處。
2.使用可靠的反病毒軟體。一些安全解決方案 – 例如卡巴斯基全方位安全軟體 – 也可以幫助進行檔案備份。
3.不要從可疑來源下載程式。他們的安裝程式可能會包含您並不希望自己電腦上有的東西。
4.不要打開來自未知寄件者的電子郵件附件,就算寄件者看起來很重要、值得信任。如有疑問,請查看相關組織官網上的電話號碼,並致電查詢。
資料來源:https://www.kaspersky.com/blog/cryakl-decrypted-for-good/21129/