RSA-4096？

12-28

今天電腦上有部分文件忽然自動加了一個後綴名.mp3，還有一些文件夾裡面自動多了三個文件，一個html文件，一個png文件，一個TXT文件，隨著時間推移，這趨勢有蔓延的情況，趕緊跟公司相關人員反應，最終貌似中病毒了，網上搜了下，說是有黑客給文件加密了，需要匯款，然後解鎖，其他人無法解決，這到底是什麼情況？有高人懂這個的嘛？我想知道這是因為什麼問題導致的？我該如何避免再遇到這種問題？對於公司相關人員我已經絕望了，各位求指教啊！！！

作者：唐平
鏈接：遭遇CryptoWall 4.0勒索病毒應該如何解決？ - 唐平的回答
來源：知乎
著作權歸作者所有。商業轉載請聯繫作者獲得授權，非商業轉載請註明出處。

你好，作為一個2013年開始追蹤勒索病毒的老師傅來講，你中的病毒我確定是Cryptowall.
以下內容，請仔細閱讀，對你衡量支付贖金與文件重要性的取捨非常重要。
若有不明白，請評論我，我會第一時間答覆您。

圖片來自博客：國內遭遇勒索病毒CryptoWall全過程（附帶解密全過程）

病毒名稱：CryptoWall
病毒類型：勒索病毒（黑客勒索的不是法幣，而是一種叫bitcoin的匿名貨幣）
作惡手法：原答案暫且以偏面且無考察為由***屏蔽，黑客在信中說道，你的所有文件均被RSA4096加密，也許是在撒謊來擴大影響力。
（樓下評論有專業人士 @八里土人回答稱，黑客說的使用RSA4096加密所有文件可能是個不可能執行的任務。但是據大量資料顯示仍然大部分Cryptowall版本無法解密，對於此我的態度也在查閱大量資料後表示此事可能確實是黑客在撒謊，但是RSA4096是Cryptowall各種版本最常用的標誌性語言，它們是否真的使用這一加密方式與是否能夠被破解似乎也沒有必然的聯繫，至於為什麼，無從得知，請參考 @八里土人的評論，在下實屬佩服任何一個行業內的耐心和且富含經驗人士，且把以上信息針對更進步合理的參考答案做出非專業調整。理由及其簡單：以其相信作惡的黑客，不如選擇相信有公益而無害的知乎大神）
危險等級：（最高級別）
入侵手段：欺騙性郵件，網站插件劫持，中小型甚至大型軟體劫持，Windows漏洞，密碼侵入，潛伏木馬等.

2016年5月9日更新：卡巴斯基發布免費解密軟體，只對Crypt後綴加密文件有效。
Ransomware Decryptor 下載decryption Cryptxxxx tool. 然後找到自己最大的那個加密文件和對應的未被加密的同一個文件，SCAN即可。
（BTW：卡巴這個軟體只針對5月7日之前的Crypt文件有效）。

2016年3月19日更新：解決方法：查殺病毒源----解密數據----刪除勒索信息。
1查殺病毒源建議使用騰訊比特幣敲詐者
2解密數據只能向黑客支付贖金購買解密私鑰，我們強烈建議不要向黑客支付贖金，這樣會讓黑客更大範圍的擴散病毒，請大家不要支付贖金，即使你的數據極其重要，那麼也不要讓更多人受害。
3刪除勒索信息批處理刪除即可

（關於數據被加密後無法打開，我建議大家使用R-Studio軟體先進行數據恢復到被加密之前，有一定的成功率，但是你堅持支付贖金，是一千倍的支持黑客讓更多人受害，所以我提議，所有被勒索者不要支付贖金，避讓讓更多人受到傷害，如果每個人都不支付贖金，那麼黑客或許會放棄。）

更多勒索病毒解決方案，關注lofter:唐平

(附：關於加密演算法更多詳情請到維基百科AES：https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86
RSA：https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95）

2016年3月14日更新：（查殺和防禦）
問：勒索病毒查殺哪家強?查殺後需要重裝系統么?病毒還會複發么?預防勒索病毒有什麼招？
答：騰訊管家率先推出勒索病毒查殺，測試有效查殺病毒源：鏈接：比特幣敲詐者
查殺後重裝系統變得不是那麼必要了。即使重裝也不排除二次感染。
勒索病毒現在基本無孔不入，非法侵入計算機方法太多了，防不勝防。
以後大家必須養成良好的習慣，可以有效預防勒索病毒。
1：硬體備份，要及時離線離線。（建議備份成RAR，並把後綴為非常規的類型，這樣就不在加密範圍內）
2：推薦dropbox雲備份。（dropbox有回檔功能,國內的雲備份暫時沒發現此功能.)
3：國內外各大殺軟基本都在3月5日後更新了針對勒索病毒庫，養成更新病毒庫的習慣很重要。
4：陌生郵件，陌生網站不要勇敢點擊。（特別是可執行的郵件附件和網站插件）
5：win10系統自帶的windows defender 現在已經完美防禦勒索病毒。
6：win系統伺服器不要在裸奔。案例：杭州某公司伺服器中勒索病毒後溯源發現，去年10月份已經被肉雞，mySQL自建許可權來去自如，正好今年3月8日伺服器要執行網售活動，7號凌晨淪陷，加密了5T多數據，生成了10.3萬個勒索信息，還好8號凌晨之前搞定了。後來一問，找上門的原來是國內某信息安全大咖，小弟實感佩服，裸奔栽了跟頭，溯源能做到極致的大神，怎麼也惹上這事?大咖說「我這是幫朋友弄，不是我的伺服器」，我相信中大型公司數據安全級別惹上這事的可能性很低。
7：公司共享伺服器建議設置高安全策略，強密碼訪問和讀寫。
8 ：個人電腦很多是80後90初感染的，他們是最早一批跟隨win系統的人，老司機什麼都不怕，但是這次給了很大的打擊，都是多年留下的數據，這不要割肉花錢消災了，我的建議還是我們80後也跟上00後的思路，非OSX不用就是，win系統是出名的漏洞補丁多，有幾個人會經常打補丁呢？
（以上建議，最主要還是1,2兩點，如果你做到了極致的備份，勒索病毒拿你一點辦法都沒有，查殺出來了病毒源，如果你數據還是重要，還是必須支付贖金購買私鑰才能恢復你的被加密文件）
9：綠盟科技（上市公司）提出的Locky預防方案，同樣對Cryptowall有效：鏈接：2016年3月24日

2016年3月3日更新：（新聞）
兩位密碼專家榮獲圖靈獎:發明公共密鑰密碼體系（新浪新聞）
密碼學科已經第三次斬獲計算機科學最高獎項」圖靈獎「
分別是：2002年 Ronald L. RivestAdi ShamirLeonard M. Adleman 的RSA公鑰加密學。
2012年 Shafi Goldwasser Silvio Micali 的密碼學複雜理論領域。
2016年3月3日 Whitfield Diffie Martin Hellman 的現代密碼學領域及SHA公鑰密碼體系，同時
他們站在了蘋果這邊反對政府的做法。

2016年2月28日更新：
問：如何免費解密一個加密文件？為什麼有人解密一個文件還收費？
答：黑客很早就提供了這項服務，任何中毒者可以免費解一個低於512KB的任意加密文件。
不需要任何費用可以解密1個文件，不要相信任何諮詢或者協助類的私人網站，倘若你要解密全部加密文件，你可以選擇淘寶擔保交易，也可以選擇你身邊的資深bitcoin老玩家進行此交易。
方法：打開黑客提供的網頁，找到

點擊上傳，等待幾分鐘即可。
我們試探性的問過黑客免費解一個文件的原因：
1）這是為了確認密碼伺服器可以自動檢索到你的私鑰。
2）確定你的私鑰是對應你的全部加密文件的公鑰不會出錯。
3）如果黑客網頁被牆了，把一個低於512KB的任意文件發送到追擊者郵箱 ransomware@126.com，我們收到後第一時間解密並免費返回給你。

2016年2月27日更新：
問:如何刪除這些殘留的勒索信息Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件？
答：淘寶店主經過多次測試成功用DOS一次性刪除所有以上產生的殘留文件。
在各個本地盤裡面打入bat代碼: del /s *recovery*?.txt *recovery*?.html *recovery*? .png /f /s /q /a

2016年2月26日更新：
問：勒索病毒的作者是誰？踢開計算機科學，從社會學，經濟學，心理學來考量Cryptowall是個什麼類型的病毒？
答：前方高能，高級猿禁入; 駭客（Cracker）有多可惡？ - 唐平的回答這個答案我寫出來後，非常多高級碼農私信我想了解更多東西，我覺得碼農不用過多參與此話題的討論，如果你是POLICE，請私信聯繫我，我有大於50%的把握能找出這個黑客或者某個黑客，但是需要更多計算機技術及警方資源方面的幫助。

2016年2月25日:更新，如果有中毒者的文件後綴全部變成了Micro，mp3，或者各種亂碼，這些都是cryptowall的特徵，cryptowall 具有加密文件隨機生成後綴文件名的功能，目前中毒者有不同加密文件後綴有不同的情況，其實都是cryptowall的作為，但是同樣不排除黑客模仿cryptowall 作案進行無良吸金。
RSA-4096的中毒者在每個文件夾下面都有三個同樣的文件: Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件內容為：
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem).....等等。

2016年2月22日：更新
問：為什麼自行購買比特幣去支付贖金的風險風險大？
答： 1：比特幣交易是你用法幣（美元或者人民幣）去購買比特幣 2：然後你再用比特幣支付給黑客。 1所產生的風險是：比特幣沒有法償性，交易過程的風險不被法律保護，匯率波動大，交易過程被黑的概率是50%。2：即使你支付了比特幣給黑客同樣不能得到私鑰的概率是50% ！所有你自行支付贖金的風險接近風險1和風險2的級數:75%, 屬於高風險的行為,倘若你是高風險偏好者，完全可以自己去嘗試。

2016年2月21日：更新
問：為什麼過年那段時間支付贖金後5-10天後才拿到私鑰？（本人強烈不建議支付贖金給黑客）
由於此黑客膽子太大，把LA的醫院給黑了，惹毛了FBI，最近非常多中毒者支付贖金後，仍然會碰鼻，過去黑客能溝通，現在黑客隻字不提，最難受就是支付贖金後，不給解密私鑰和軟體，或者只給軟體不給私鑰，或者只給私鑰不給軟體。請大家慎重付款，所以暫時關閉支付教程，避免遭受更多損失。新聞鏈接：The hospital held hostage by hackers

2016年1月22日：
問：網上有私鑰下載，我可以使用嗎？
答：黑客更新 RSA 4096加密的的方案
同樣我買入了私鑰和軟體( 這是我本人測試某個中毒者的一個方案）

decryption software : 百度網盤：http://pan.baidu.com/s/1kTX3zuf
私鑰：Run decryption software, and enter your personal key: 6CAC0CC4F35B4C6772889D98A891A1192D33412A5ADD6E2EE9DCD2A8206D13EB
Press a button!

以下來自新浪博客鏈接：國內遭遇勒索病毒CryptoWall全過程轉載：。
博主明顯已經怒了！！那麼多年存的大量.....TB 文件啊。。可惜了。。日了狗了。。

這是一個不知羞恥的病毒！

為什麼這麼說？

1：cryptowall 是個RSA2048加密的病毒，公鑰用於加密你的文件，而私鑰被黑客保存在他的秘密伺服器。這是個沒招的解密方式，除非你拿到私鑰。

2：這個私鑰，黑客要收取500美金的贖金才能給你，如果在規定時間內，你支付不了！！那麼抱歉，贖金翻倍。

3：如果你放棄支付贖金，那麼你的數據將會被永久性加密。

（BTW，黑客在HELP_YOUR_FILE 中也提到，不要去嘗試其他方式去破解密鑰。最終你會無功於返！）

最近出現大量中毒者自己支付贖金被騙，所以隱藏，如果實在是被逼無奈，請私信我。
*隱藏支付教程*

*隱藏支付教程*

過了3-5個小時後，可以下載解密軟體了。！！

把decrypt.zip 解壓後，得到一個軟體。
（軟體我就公開給大家算了，不知道你能不能用！）
http://pan.baidu.com/s/1c1pmekw 360會報毒，黑客在上面提示也說了會報毒！
（目前已經測試針對其他電腦無效）
最後打開軟體跑起來了。。。哎！！
如果你中毒的是RSA4096的加密，請看2016年1月22日更新。