Ransom – mking007

https://www.nomoreransom.org/

近年來遭受勒索病毒（Ransomware）侵擾的機構層出不窮，其中不乏政府機關、醫院、學校或中小企業公司，甚至許多人的家用電腦都曾經中毒。一般來說，勒索病毒慣用手法是包裝在軟體或郵件附件，以其他格式偽裝，當使用者不小心執行後，它就會在電腦內進行部署，最終將所有檔案加密變成無法存取使用，跳出支付贖金來脅迫使用者取得解密金鑰恢復檔案，而且使用比特幣（Bitcoin）技術使嫌犯更難以被追蹤。

趨勢科技針對勒索軟體推出的免費復原工具 Trend Micro Ransomware File Decryptor，能有效對付某些類型勒索病毒，在不用支付贖金的情況下來強制重新復原救回檔案，這個工具目前支援包括 TeslaCrypt、CryptXXX、SNSLocker 等等在內共十多種勒索軟體類型。除此之外，本文要來介紹一個「No More Ransom」網站，一個勒索病毒主題入口網站，以專門對付勒索病毒為主，網站來頭不小，由 Intel Security、Interpol、荷蘭警方和卡巴斯基安全實驗室聯手打造！主要是協助使用者對抗危害，提供各種解密破解工具，讓使用者在不支付勒索贖金的情況下恢復重要文件檔案。

與其說 No More Ransom 是一個提供解密工具的網站，倒不如說他是一個教育使用者如何避免遇到勒索病毒危害的教育網站，內容簡單扼要一目了然，例如：備份資料、只打開認識且信任的聯絡人郵件附件、安裝防毒軟體、讓電腦軟體更新保持最新狀態，這些雖是老生常談，謹記在心準沒錯。

此外，No More Ransom 還提供線上勒索病毒檢測平台，使用者只要上傳自己被加密後的檔案，它就能從該組織擁有的 16 萬組解密金鑰中找出能夠解鎖的方式，還會讓你免費下載合適的復原工具，接下來我就簡單介紹一下 No More Ransom 這個網站的使用方法吧！

使用教學

STEP 1

開啟 No More Ransom! 網站後，首頁會直接詢問是否要協助你解鎖、復原你的檔案或文件，而不用支付給駭客贖金？點選 YES 後會進入檢測平台，如果點選 No 則會有一系列的防護安全資訊供使用者參考學習，不過目前僅有英文版。

STEP 2

No More Ransom! 的 Crypto Sherief 加密檔案自我檢測平台相當厲害，可能是目前網路唯一提供這項服務的網站！簡單來說，使用者只要點選左側兩個按鈕將被加密的任一兩個檔案選取、上傳，右側則是填入你在支付贖金頁面看到的 Email、網址，這部分需要確認無誤，以避免找不到可以解密的金鑰或工具，你也可以直接上傳勒索病毒留下來的訊息（.txt 或 .html 格式）。

最後，點選下方按鈕，No More Ransom! 就會找出可能可以解蜜、復原檔案的金鑰讓你免費下載，或者可能可以還原的免費工具。

STEP 3

在網站的 Decryption Tools 解密工具頁面，提供一系列可協助處理、還原或救援被勒索病毒加密後檔案的工具（CoinVault、RannohDecryptor、RakhniDecryptor、ShadeDecryptor），都有各自對應可以處理的勒索病毒副檔名格式。

不過在下載前請務必先閱讀使用說明，尤其要先確保勒索病毒已經從你的系統被完整移除，避免在解密後又被重新加密造成檔案損毀，任何可信賴的防毒軟體都能做到。

目前勒索軟體（勒索病毒）的數量相當多，而且不斷變種，有更多型態出現，現階段破解工具還無法涵蓋所有的勒索病毒，不過 No More Ransom! 網站提醒：盡量不支付贖金給這些病毒駭客，一來你會讓這些人認為有利可圖，進而找出更多方法來入侵其他使用者電腦；二來支付贖金獲取的解密金鑰也可能無法使用！讓你掉入被詐騙的陷阱當中。若你真的不幸中了勒索病毒，請記得先到 No More Ransom 網站找找解決辦法。

Disinfection

To disinfect the system:

http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.zip

Download RannohDecryptor.zip. The following pages contain information on how to download the file.
Run RannohDecryptor.exe on the infected computer.
In the main window, click Start scan.

RD_8547_1

Indicate path to one encrypted file and one not encrypted file.
If the file is encrypted by Trojan-Ransom.Win32.CryptXXX, indicate the largest files. Only the files of this size or smaller ones will be decrypted.
Wait until the files are found and decrypted.
Reboot the computer, if needed.
To delete copies of encrypted files named like locked-<original_name>.<four_random_letters> after a successful decryption, use the option Delete encrypted files after decryption.

Please note. If the file was encrypted by Trojan-Ransom.Win32.Cryakl, the tool will save the files with the extension.decryptedKLR.original_extension. If you select the option Delete encrypted files after decryption, the decrypted file will be saved under the original name.

By default, the tool log is saved on system disk (the one with the operating system installed).Log file name is: UtilityName.Version_Date_Time_log.txt
For example, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

If the system is encrypted by Trojan-Ransom.Win32.CryptXXX, the tool scans a limited number of files. If you have selected a file encrypted by CryptXXX v2, the encryption key restoration can take a rather long time. In this case the tool views the following message:

RD_8547_2

标签： Ransom

No More Ransom! 協助你一同對抗勒索病毒

Tool for decrypting files affected by Trojan-Ransom.Win32.Rannoh infection

Tool for decrypting files affected by Trojan-Ransom.Win32.Rannoh infection

Disinfection

Command line options