摘要： 當你被勒索軟件感染時，首先要識别受感染的計算機，然後檢查勒索軟件是否仍然存在，接着找出正在運行的勒索軟件，最後按照一定的步驟清理。保護數據安全性最穩妥的方法是備份，擁有3份重要數據備份，系統無法訪問2份副本，1份存儲在異地。

前言：

作為一種古老的黑客不正當獲利的手段，由于虛拟貨币的自身特性，勒索軟件在加密貨币的領地上煥發出了新的活力。加密貨币作為贖金，已經成了勒索軟件的基本配置。

今天我們将為大家介紹如何手動删除勒索軟件。

什麼是勒索軟件？

勒索軟件可以分為兩種不同的類型; 屏幕鎖定器和文件加密器。

屏幕鎖定器通常隻會阻止您訪問Windows。他們要求付款以解鎖系統，但不會造成任何實際損害。一個特别受歡迎的僞裝方法是假裝執法，聲稱他們已經發現存在非法的活動。雖然繁瑣，但從這種勒索軟件攻擊中恢複通常非常簡單，并且可以重新獲得對系統的訪問權限。

另一種文件加密器則是加密用戶機器上的個人文件或整個硬盤驅動器，阻止用戶訪問他們的文件，除非他們支付贖金。但并非所有文件加密勒索軟件都使用強加密技術，因此在許多情況下，用戶無需付費即可恢複其數據。

對于這篇文章，我們主要介紹更常見的文件加密器類型的勒索軟件。由于勒索軟件家族不斷變化和發展，我們将演示一個典型的恢複程序，使用較老的勒索軟件家族，常青樹Xorist。

如果你被感染該怎麼辦？

這是每個用戶和管理員的噩夢：你發現自己感染了勒索軟件，你正盯着屏幕上的一條消息，要求你花費數千美元來解密你的文件。你該怎麼辦？不要驚慌。勒索軟件可能會向您顯示時間限制，但重要的是避免采取錯誤的步驟，這可能會使您更難恢複文件。

第1步：識别受感染的計算機

首先，找到受感染的計算機。這是非常重要的第一步，應該在您發現勒索軟件感染時立即完成。您通常可以通過檢查網絡上的贖金票據文件的所有者或文件共享來找到勒索軟件所在的計算機。找到受感染的計算機後，斷開它們與網絡的連接，以便勒索軟件無法橫向傳播到網絡上的其他計算機，并在勒索軟件尚未完成時阻止加密更多文件。

第2步：檢查勒索軟件是否仍然存在

其次，一旦受感染的系統斷開連接，重要的是要弄清楚勒索軟件是否仍在運行或存在于系統上。如果是這樣，那麼最好在清理系統之前獲取内存的進程轉儲和惡意軟件的副本。這很重要，因為特定的勒索軟件系列可能仍在運行中。通常，建議将任何惡意文件上傳到名為VirusTotal的服務。VirusTotal由來自60多個不同安全供應商的防病毒掃描程序和其他安全工具提供支持，可以告訴您文件是否幹淨，或者如果文件被檢測為惡意軟件，則提供檢測名稱。

第3步：找出您正在處理的勒索軟件

第三，将贖金票據和加密文件的副本上傳到ID-Ransomware（IDR）。IDR是一項免費服務，經過培訓，可根據加密文件和勒索軟件中留下的線索識别勒索軟件。一旦你知道你正在處理哪種勒索軟件，就會更容易看出是否有合适的解密器以及是否有關于受害者如何被感染的信息。

第4步：清理

最後，我們通過下述案例了解如何清理。

如何删除Xorist

大多數情況下手動移除是不必要的。勒索軟件經常自我删除，因為它已經完成了加密文件和丢棄要求勒索贖金的主要目的。話雖這麼說，一些勒索軟件還會将自己安裝到自動啟動位置，以加密以前未加密的任何新數據。其他一些勒索軟件可能會附帶其他惡意軟件，這可能會造成進一步的破壞。

由于勒索軟件不斷發展，我們決定選擇一個相當古老的勒索軟件家族，這個家庭仍在使用中，并且在它首次發布後的幾年内占據了所有勒索軟件攻擊的很大一部分：Xorist。雖然肯定有更複雜的勒索軟件變種，但大多數都沒有展現出Xorist的持久力。

Xorist是一個勒索軟件構建工具包，即使是初級的網絡犯罪分子也可以使用的勒索軟件。諸如背景圖像，勒索軟件筆記，要定位的文件擴展名和解鎖密碼等内容都可以完全自定義。我們從攻擊者多年來産生的成千上萬的Xorist變體中挑選了一個随機變體。

當您第一次看到受感染的系統時，您會立即看到背景已更改為可怕的注釋，并且所有圖标都已更改為頭骨。

首先，我們要檢查勒索軟件或其他惡意軟件是否仍在使用Process Explorer或Process Hacker運行。在這種情況下，勒索軟件在完成更改後退出，并且沒有其他惡意軟件在運行。但是，如果您确實發現計算機上運行的進程看起來像惡意軟件，請确保在挂起或終止它們之前創建它們的完整進程内存轉儲。要做到這一點，隻需右鍵單擊流程列表中的流程，然後在Process Hacker中選擇“Create dump file ...”或在Process Explorer中選擇“Create Dump / Create Full Dump ...”。

接下來，我們要使用一個名為Autoruns的便捷工具檢查加載點（大多數程序在啟動時可以運行的方式）。加載Autoruns後，我們在Run鍵中看到一個值，該圖标與我們現在顯示的所有文件一樣。通過查看文件所在的位置（在temp中）并通過在VirusTotal上掃描（右鍵并選擇Submit to VirusTotal）進一步調查，我們可以确定這可能是我們的勒索軟件文件。

有關在VirusTotal上掃描文件的一點需要注意的是，有時掃描程序可能會出現誤報。因此，如果一個文件隻有一個或兩個檢測但看起來合法，則并不一定意味着該文件是惡意的。在這種情況下，将文件提交給我們可能會有所幫助，因此我們可以仔細查看。

但是，在這種情況下，考慮到檢測的數量 - 以及圖标和可疑位置 - 我們可以假設此文件是惡意的并且是感染源。因此，我們可以通過右鍵單擊該行并選擇“删除”來删除自動運行條目，或者我們可以通過取消選中條目前面的複選框來禁用它。

通常，每當您處理勒索軟件時，最好創建一個您找到的所有惡意可執行文件的副本。您隻需将它們全部複制到一個目錄中，然後将它們壓縮即可。歸檔惡意文件而不是删除它們的原因非常簡單：在處理新的勒索軟件系列時，像我們這樣幫助勒索軟件受害者的公司将需要加密文件的勒索軟件可執行文件以對其進行反向工程并查找缺陷它的實施。隻有這樣，我們才能将這些缺陷變成一個有效的解密者。如果受害者删除勒索軟件的可執行文件，則此過程變得更加困難。

在我們解除了自動運行并取消歸檔勒索軟件可執行文件後，我們會将贖金票據和一個加密文件提交給ID-Ransomware。這個過程很簡單，大多數用戶都不會按照網站上的說明進行操作。

ID Ransomware為我們正确識别勒索軟件系列，并且知道使用哪個解密器來獲取我們的文件。

在處理勒索軟件解密時，請記住它們可能并不完美。很多勒索軟件都是粗暴編程的。有些會直接損壞他們加密的部分文件而導緻無法恢複損壞的部分。最好檢查解密器下載頁面上的使用信息，以确定是否存在任何此類限制以及如何正确使用解密器。

大多數解密器（包括我們的解密器）通常要求您擁有一個匹配的文件對，其中包含一個加密文件以及未加密的原始版本。許多受害者通常不知道如何獲得這些并認為不可能得到匹配的一對。但是，根據以下指針，他們通常會立即找到一個文件對：

1.如果在下載目錄中加密了任何文件，隻需再次下載該文件即可。

2. 如果有任何加密的标準Windows文件，例如默認壁紙，隻需從運行相同版本Windows的其他系統中複制相同的文件即可。

3.檢查您發送的電子郵件文件夾，查看您發送給現在已加密的朋友或家人的任何文件，隻需獲取原始表單即可發送電子郵件。

解密器通常還需要一些時間來執行一些冗長的計算，以确定要使用的正确解密密鑰。因此，在解密者完成其工作時請耐心等待。

一旦我們下載了Xorist解密器并使用合适的文件對運行它，它就會開始進行攻擊以破壞加密：

完成後，解密器将通知我們該過程的結果：

單擊确定并開始解密過程後，我們将文件恢複：

大多數勒索軟件都需要額外的清理工作。首先，壁紙。使用标準Windows對話框可以輕松更改壁紙。隻需右鍵單擊桌面上的空白區域，然後選擇“個性化”。然後将背景更改回您想要的背景：

在這種特殊情況下，勒索軟件還注冊了自己的文件擴展名（.cryptedx）并将其鍊接到勒索軟件可執行文件。這就是為什麼所有加密文件突然有一個頭骨圖标。删除它有點棘手，需要使用Windows注冊表編輯器。

隻需運行“regedit.exe”命令即可打開Windows注冊表編輯器。要進入“運行”對話框，請同時按Windows鍵和“R”鍵。

現在導航到HKEY_CLASSES_ROOT鍵。此注冊表項包含文件擴展名之間的所有鍊接以及它們鍊接到的應用程序。接下來，在HKEY_CLASSES_ROOT鍵中查找子鍵“.cryptedx”。你會發現類似的東西：

基本上有兩種方法可以在注冊表中設置文件擴展名。要使用的應用程序的信息直接存儲在文件擴展名子密鑰中，要麼該信息是單獨存儲的，文件擴展名隻鍊接到該其他條目。通過檢查文件擴展名密鑰本身是否具有任何子密鑰來确定哪個是哪種方法。這顯然不是這裡的情況，否則，它将有一個小箭頭展開左側導航窗格中的子鍵。因此我們将記下默認值（“NTGQBAPSQKOSXWE”），然後删除密鑰。

接下來，我們查看NTGQBAPSQKOSXWE子鍵。這是表示運行應用程序的關鍵：

删除最後一個密鑰将完全删除惡意軟件放置的擴展注冊。

最後但并非最不重要的是，我們将進行最後一些清理工作。大多數解密器将保留贖金票據以及加密文件，以防出現任何問題。畢竟，擁有加密備份仍然比完全沒有備份更好。但是，一旦确定您的文件已經恢複并且沒有損壞，它們就會變得不必要的混亂。

因此，在我們的最後一步中，我們使用Windows文件搜索來查找所有加密文件以及所有贖金備注以删除它們：

隻需選擇all并删除任何其他文件，我們就完成了對勒索軟件感染和文件恢複的完全删除。

如何避免勒索軟件？

簡而言之，勒索軟件隻是普通的惡意軟件。因此，針對普通惡意軟件的所有常用過程對于勒索軟件同樣有效，例如：

1.使您的軟件和操作系統保持最新，以避免成為漏洞攻擊和偷渡式下載的目标。

2.不要從盜版軟件或從您不認識的來源打開電子郵件附件等高風險行為。即使您确實了解來源，也要使用常識。由于大多數文檔格式已經過壓縮，因此任何人沒有理由在ZIP存檔中包裝發票，訂單确認或其他任何内容并通過電子郵件發送。在這種情況下，ZIP不會減小電子郵件的大小，而隻是用于過濾掉可能的惡意附件的附件過濾器。

3.使用可靠的防病毒和反惡意軟件程序來保護您的安全。

觀點：

您可以采取一些額外的步驟來保護自己。備份是最重要的一個。雖然備份不能保護您免受勒索軟件的侵害，但它們确實有助于減輕損失。備份的一般規則是“3-2-1”。擁有3份重要數據。您的系統無法訪問其中2個副本。其中1份副本應存放在異地。

（作者：曲速未來安全區；内容來自鍊得得内容開放平台“得得号”；本文僅代表作者觀點，不代表鍊得得官方立場）

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!