05/19:
壇友們抱歉,因為大叔我懶惰成性,都在潛水很懶得回文,心血來潮才會發文或回文.
說重點:我有在關注cry128解密程式,若有消息我會更新並通知大家,謝謝.
hi all:
放假了,所以上國外論壇看了一下,僅分享並提供資訊給各位.我分兩個部分說明:
(抱歉我懶得貼圖,所以都用連結,但我會做簡略說明)
1.國外emsisoft於05/02有發表出最新的cry128型初版的解密程式
https://decrypter.emsisoft.com/cry128
針對的是檔名被勒索病毒改成如下的有解.
".fgb45ft3pqamyji7.onion.to._",
".id_<id>_gebdp3k7bolalnd4.onion._",
".id_<id>_2irbar3mjvbap6gt.onion.to._"
".id-<id>_[qg6m5wo7h3id55ym.onion.to].63vc4".
而我中的是".id_<id>_gebdp3k7bolalnd4.onion._", 這一種的.
2.解密簡易教學:
a.下載此套解密程式.
b.準備兩支大於128KB的檔案,一支是被加密前的正常原檔,一支是被加密後的檔案,此兩支檔案必須是相同的!
c.用滑鼠將原檔跟加密檔拖曳到解密程式的icon上,就會開始執行解密.
d.解密時間要一段時間,我i7-2600k 4C8T +16G RAM,跑一個135KB的檔案8核全速100%滿載跑了近一個小時,
但解密失敗,原因我下面會說明.
E.建議不要移動被加密檔案的位置,將解密程式跟原檔案弄去加密檔案的資料夾內處理.
如果沒有原檔,我教你一個處理的方式. 正常男人都會有後宮槽吧?
比如你之前下載了某個番號的影片,通常都會附有番號封面,通常這大於128KB
所以你重新去下載這部影片,這樣你就有同樣的檔案可以去跑解密了.
3.解密說明:
http://blog.emsisoft.com/2017/05/01/remove-cry128-ransomware-with-emsisofts-free-decrypter/
目前這位解密佛心大神Fabian wosar 表示,加密檔比原檔多36bytes的cry128新變種,他還在研究中.
而我就是這種新變種的,昨晚我用不同的三支檔案跑解密,跑到100%結果都失敗.因為我變種型的,
雖然加密檔名有在列表內,但我變種的目前無解.
4.解密原版sop:
https://decrypter.emsisoft.com/howtos/emsisoft_howto_cry128.pdf
sop內確實是cry128型解密成功的畫面.
以上分享給各位,祝福不幸中到初版勒索的朋友,能夠解密成功.
BTW:這次我特別感謝壇友KevinYu0504大大,他導正了我以前防毒的過時觀念,並且很用心詳細的分享現時的新防毒觀念,
小弟再次表達感謝^^~大家也可以參考他前不久回我的文,很受用的!
個人積分:77分
文章編號:64263464
個人積分:485分
文章編號:64263572
個人積分:8469分
文章編號:64268122
e36m3gtr wrote:
BTW:這次我特別感謝壇友KevinYu0504大大,他導正了我以前防毒的過時觀念,並且很用心詳細的分享現時的新防毒觀念,
小弟再次表達感謝^^~大家也可以參考他前不久回我的文,很受用的!
真是 受寵若驚,感謝您的讚美
e36m3gtr wrote:
1.國外emsisoft於05/02有發表出最新的cry128型初版的解密程式
https://decrypter.emsisoft.com/cry128
針對的是檔名被勒索病毒改成如下的有解.
".fgb45ft3pqamyji7.onion.to._",
".id_<id>_gebdp3k7bolalnd4.onion._",
".id_<id>_2irbar3mjvbap6gt.onion.to._"
".id-<id>_[qg6m5wo7h3id55ym.onion.to].63vc4".
而我中的是".id_<id>_gebdp3k7bolalnd4.onion._", 這一種的.
您的解釋跟說明都很完整,
我幾乎都不需要再補充了 ~
男人的後宮槽
其實 Fabian wosar 這位就是我之前一直在推薦的防毒軟體
Emsisoft 公司內的首席工程師(CTO),其技術&能力不是蓋的
網路上在許多國外資安論壇都可以見到他身影,
有時候還會出來解釋一些技術性上的專業講解,
其實我個人蠻佩服他的
來個趣聞吧 ~
Malware writer renames Ransomware after a security researcher
Fabian wosar 的能力就是因為太強了,阻止了許多勒索病毒作者的"財路",
搞的勒索病毒的開發者不爽,乾脆直接將勒索病毒從 Ransomware 改名為 Fabiansomware。
Fabian wosar 有表示目前他的團隊還在持續專研 Cry128 系列的變種,
希望有機會能夠讓更多受害者可以將檔案救回來 ~
個人積分:0分
文章編號:64269175
個人積分:8469分
文章編號:64269237
bhtsai0601 wrote:
想請問被加密的檔案既然有原始檔案了,那還要解密幹嘛呢
對這部分不了解,煩請版大開示
這是因為需要解密這些檔案,
需要透過原始未被加密的檔案 + 已被加密的檔案,
兩者去比對計算,然後產生出一組 Private Key 出來。
沒有原始檔案,就好像一張考卷,沒有題目卻要寫出唯一的正確答案,
幾乎是不可能的。
有些原始檔案,是還有機會找回來的。
舉幾個例子 :
你曾經透過像是電子信箱內、某論壇或者地方下載的照片、影片、音樂等等,
都可以當作原始檔案來使用。
說更明白點,你曾在某地方下載了一個日本愛情動作片,
這影片放在男人的D槽內,今天這影片被加密了,
但你還記得這是哪一支影片,你只需要回到當初的那個地方,
重新下載一次影片,就有原始檔 + 被加密過後的檔,
就符合條件了
只要能夠找出一個大於 128KB 大小的原始檔案 + 加密過後的檔案,
Emsisoft 所提供的解密程式就可以嘗試去破解加密。
因此當你電腦內許多資料被加密,
理論上還是可以找到幾個符合條件的檔案才對 ~
個人積分:0分
文章編號:64269505
個人積分:8469分
文章編號:64269582
個人積分:606分
文章編號:64270163
個人積分:89分
文章編號:64270519
個人積分:1433分
文章編號:64272515
