讀者來函照登:
冒昧耽誤貴司一點點時間,好友向我推薦貴司,說你們很專業在儲存相關技術,能否請教一下:
家人借用電腦時使用IE(我很久沒更新IE)上了一個線上片站,疑似點擊到一則廣告,結果整部電腦遭勒索加密。經觀察是之前韓國變種勒索病毒MY DECRYPTOR ( Magniber )
經我外行了解,這種病毒加密是針對每台電腦的機碼隨機加密,所以針對每台電腦的加密解法都不一樣...我跑過了以下三大勒索救援網站,很遺憾都沒有可對應的方案可解。
https://www.emsisoft.com/ransomware-decryption-tools/
https://www.nomoreransom.org/decryption-tools.html
https://id-ransomware.malwarehunterteam.com/
1. 請問依貴司專業理解,這支病毒是否確實如同我所認知,每台電腦解法(鎖碼)都不一樣,如果我不交出我的電腦給解密機構嘗試解碼,基本上是100%等不到有人解密的,因為世上不太可能會有第二組跟我一模一樣的電腦加密?
2. 承上,如果我的認知是正確的...能否請貴司建議一下該怎麼進行下一步?
OSSLab回
加解密關鍵點都必須有密鑰,現在勒索病毒不會有單一固定密鑰.市面上解密工具真實狀況如下
1.在案發當時對電腦主機做記憶體鑑識取得密
2.像Satan病毒的密鑰是會在被加密檔案檔尾的Hardware +Pulic ID+固定值產生不同的密鑰
3.有資安專家付完贖金後把病毒密鑰服務器打下來如
muhstik
https://pastebin.com/N8ahWBni
4.GandCrab 是自己收山了,國際刑警跟資安公司合作從CC server找出密鑰
所以現成來講 確實一般用戶資料都是小檔案會全加密,遇到勒索病毒若沒密鑰確實沒有啥好做法.
但勒索病毒習慣性對DB格式檔案不會做全加密.
因此還有不少機會可以做資料救援處理
OSSLab Geek Lab 會盡力處理與讓你核對
當然常備份是一定要的.
#OSSLab #資料救援
