恢复被勒索软件感染的数据
2016-08-11重剑
重剑
勒索软件无疑是目前最恐怖的电脑病毒之一,如果不小心中招往往会被诈骗钱财。当然有的时候并不是给钱就能解决问题的,病毒制作者为了避免自己暴露,往往会要求用户支付比特币等虚拟货币。不过随着这类病毒在网络中持续蔓延,已经引起不少安全厂商的高度注意。而且有的厂商已经推出了一些免费的解密工具,这样就给中招用户带来了一线曙光。
简单易用的卡巴斯基
对于国内的电脑用户来说,卡巴斯基的大名可以说是如雷贯耳,而它也正是最早推出免费解密工具的安全厂商,所以中招的用户可以试一试这款工具。我们首先从卡巴斯基的官方网站下载最新版本的解密工具RakhniDecryptor(网址:http://t.cn/R5Ayiau)。由于此解密工具是一款绿色软件,直接运行就可以了。现在点击主界面中的扫描按钮,这时会弹出一个对话窗口,从中选择用户需要恢复的一个文件并点击打开(图1)。设置完成后耐心等待RakhniDecryptor进行文件的恢复操作,这一过程可能需要较长时间。
当然也可以点击“Change parameters”链接,来进行解密工具的参数设置。首先选择用户需要扫描的目录,通常情况下只需要选中系统中的硬盘盘符即可。如果用户的电脑系统还接入了移动设备,或者开放式网络共享内容的话,最好将这些选项一起进行勾选。在参数设置窗口里面,还提供了“Delete crypted files after decryption”选项(图2)。如果用户选中了这个选项,那么可以在解密文件后,对原来的加密文件进行自动删除。不过我们不建议用户这么操作,因为有时解密工具认为解密成功的文件,实际上并没有真正的解密成功,所以一定要留好原文件。接下来点击OK按钮关闭参数设置窗口,返回到解密工具的主界面里面继续操作即可。
小提示
在使用软件工具进行文件恢复操作之前,为了安全起见,最好先将原先的文件做好备份,以防恢复过程中出现意外损坏了原有的文件。
NOD32命令行下操作
虽然卡巴斯基的解密工具操作起来非常简单,但是这款工具只能针对TeslaCrypt系列的勒索软件,而且也不能百分之百的保证可以解密所有的加密文件,所以我们就需要为卡巴斯基寻找一个替补软件已备不时之需。作为连续通过VB100测试最多的杀毒软件,NOD32的能力也是不容小觑的,而它也为普通用户推出了一款免费的解密工具,这样就可以和卡巴斯基很好地进行配合。
首先从NOD32的官方网站下载解密工具“ESETTesla CryptDecryptor.exe”的最新版本(网址:http://t.cn/RqsoNDd,注意,此为直接下载链接,已作缩短网址处理)。下载完成后我们发现,它并不是一款图形化的软件,而是一款命令行的软件。所以首先通过管理员权限打开命令提示符功能,接着利用CD命令切换到“ESETTeslaCryptDecryptor.exe”所在的目录。然后输入程序名称以及要扫描的目录,比如“ESETTeslaCryptDecryptor.exe C:”,就可以对系统的C盘进行扫描工作。找到需要解密的文件就会自动处理,用户只需要等待最终的结果就可以了(图3)。如果用户需要扫描其他的磁盘,将命令行中的“C”进行替换就可以了。同上,进行操作之前,最好对原文件进行备份处理。
小提示
“ESETTeslaCryptDecryptor.exe”解密工具自带有很多的参数,如果用户对命令行操作比较熟悉的话,那么可以配合这些参数进行相关的处理操作。比如“/s”参数就表示在安静模式下进行操作,而“/n”模式则是只扫描文件不进行解密操作。
全能的趋势解密工具
虽然卡巴斯基和NOD32都推出了免费的解密工具,但是它们都仅仅是针对TeslaCrypt系列的勒索软件。换句话说,这两款解密工具并不能包打天下,这样在遇到无法解密的文件时只能寻找其他方法。好在现在免费解密工具的选择面也比较广,比如趋势科技最近一下子推出了两款解密工具“Ransomware File Decryptor”及“Taslacrypt File Decryptor”,它们一共可以对四个类型的勒索软件的加密文件进行解密。
同样从官方网站下载最新版本的两款解密工具(http://t.cn/R50bOm8,已作缩短网址处理),由于这两款解密工具针对的勒索软件不一样,所以用户需要有针对性地进行选择操作。比如我们这里运行“Ransomware File Decryptor”这款工具,就可以看到这个工具的简单说明。接着点击“Agree”按钮,就可以看到解密工具的主界面(图4)。现在点击主界面中的“Select”按钮,从中找到需要进行解密的勒索软件类型,其中包括TeslaCrypt(V3, V4)、CryptXXX(V1, V2, V3)、SNSLocker及AutoLocky等(图5)。接下来返回到主界面,点击“Select&Decrypt”按钮选择要解密的文件路径,“Ransomware File Decryptor”开始就用户选择的路径进行扫描(图6)。一旦找到被恶意加密的文件将自动进行解密,最终返回到正常可以使用的状态。
