遭遇CryptoWall 4.0勒索病毒應該如何解決？

01-04

{}_~_~+
-$.-_+$|~~_||
=|_$.**+-~|
$+|=*.-=|
!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-4096.
More information about the RSA algorythm can be found here:
RSA (cryptosystem)
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://88fga.ketteaero.com/733145F9939DA63
2. http://2bdfb.spinakrosa.at/733145F9939DA63
3. http://uj5nj.onanwhit.com/733145F9939DA63
If all of the addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html

2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: k7tlx3ghr3m4n2tu.onion/733145F9939DA63
4. Follow the instructions on the site.
!!! Your personal identification ID: 733145F9939DA63 !!!
)(*=~_$~+$==-$*~=$$
__$-=-+*

你好，作為一個2013年開始追蹤勒索病毒的老師傅來講，你中的病毒我確定是Cryptowall.

以下內容，請仔細閱讀，對你衡量支付贖金與文件重要性的取捨非常重要。

若有不明白，請評論我，我會第一時間答覆您。

病毒名稱：CryptoWall

病毒類型：勒索病毒（黑客勒索的不是法幣，而是一種叫bitcoin的匿名貨幣）

作惡手法：AES或 RSA演算法批量加密上百種後綴文件，並且留下勒索信息.

危險等級：（最高級別）

入侵手段：欺騙性郵件，網站劫持，中小型甚至大型軟體劫持，Windows漏洞，密碼侵入，潛伏木馬等.

關於crypt變種cryp1後，卡巴斯基的工具失效。目前沒辦法恢復文件，而且黑客的支付通道買到的解密工具，同樣不能解密，不要浪費你的錢。

黑客真是日了狗！！！太沒職業道德了。他也許要的不是錢，他要的什麼？目前不清楚。

目前，除了卡巴斯基，還有趨勢也在跟進免費解密軟體的開發，請大家不要盲目支付贖金，即使你的文件再重要，也許等等就能破解了。請大家不要急！！時間是最好的私鑰！！！

趨勢可以破解cryptxxx 3.0版(crypt後綴），下載地址http://solutionfile.trendmicro.com/SolutionFile/EN-1114221/RansomwareFileDecryptor 1.0.1569 MUI.zip (知乎bug,請把後面zip部分一起複制到遊覽器才能下載）

關於Crypt後綴病毒在國內爆發後的一些說明，這次真不同。

今天 2016年5月13日21：03分，我非常高興的告訴大家！！！

卡巴斯基解密工具可以恢復任何一個版本的Crypt病毒了！！請大家不要悲哀，這世界一樣充滿愛!!

下載地址：

http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.exe?_ga=1.69588624.1814211149.1453294100

運行後點擊SCAN，選擇你的Crypt文件。讓他運行即可。！！！

！！！！！！這也是我追擊那麼多年病毒，第一次看到黑客被完虐！！！！狠狠的按在地板上！！！這裡，很遺憾的是，用Gmail和憋足的英語，卡巴的工程師竟然聽懂了我說的。

1：本文寫的Cryptowall4.0是Crypt後綴病毒的前身（這個作者及其可能是同一個人），國外媒體把這種Crypt後綴的病毒叫做CryptXXX。

2：CryptXXX 有2次變種，1.0版本已經被卡巴斯基破解，而2.0卻是黑客對卡巴斯基破解軟體的反擊升級，所以卡巴的破解軟體對Cryptxxx2.0版本是無效的。

3：今天晚上研究了大量國外報道和國內中毒者的反饋，中毒的原因及其可能是國內部分網站被黑客劫持，你如果停留在某個網站掛機，中毒的可能性是非常大的。鑒於北京聯通的用戶湧現大量Crypt中毒者，我也是醉了，為毛是北京聯通，我也不曉得。（GOOGLE關鍵字cryptxxx,可以查詢到大量報道）

如果有知乎的同學，在開著某個網頁掛機過程中毒的，請在下面回復，並且告知你使用的遊覽器類型。

4：非常遺憾的是，截止5月12日沒有任何工具可以恢復你的Crypt（2.0）的文件，即時你向黑客支付贖金買了私鑰解密器，也會出現不能恢復文件的可能，為什麼我知道？因為本人親歷整個日了狗的過程，損失幾千大洋（1.2BTC)。

5：查殺Crypt病毒，360一直在微博說ta可以查殺，我不確定，因為我沒用過360. （註：查殺和恢復文件冒油任何關係）

6：如何防範？網頁劫持的防範比較難，這個工具https://www.malwarebytes.org/business/antiexploit/ 是可以的。可惜不符合中國人的免費午餐習慣。

2016年5月13日凌晨更新：馬蛋啊，多少網站被黑客劫持？文件變成crypt後綴的原因可能是網頁被劫持，你卻不小心遊覽了它。

看這篇新聞報道吧，小心小心再小心，Website For French Cinema Chain Gets Hacked, Serves CryptXXX Ransomware

2016年5月9日更新：卡巴斯基發布免費解密軟體，只對Crypt後綴加密文件有效。

Ransomware Decryptor 下載decryption Cryptxxxx tool. 然後找到自己最大的那個加密文件和對應的未被加密的同一個文件，SCAN即可。

（BTW：卡巴這個軟體只針對5月7日之前的Crypt文件有效，也就是1.0版本，如果你安照上述方法嘗試解密顯示加密文件和原文件大小不一致，那麼你中毒的就是Cryptxxx2.0）。

2016年3月19日更新：解決方法：查殺病毒源----解密數據----刪除勒索信息。

1查殺病毒源建議使用騰訊比特幣敲詐者

2解密數據只能向黑客支付贖金購買解密私鑰，我們強烈建議不要向黑客支付贖金，這樣會讓黑客更大範圍的擴散病毒，請大家不要支付贖金，即使你的數據極其重要，那麼也不要讓更多人受害。

3刪除勒索信息批處理刪除即可

（關於數據被加密後無法打開，我建議大家使用R-Studio軟體先進行數據恢復到被加密之前，有一定的成功率，但是你堅持支付贖金，是一千倍的支持黑客讓更多人受害，所以我提議，所有被勒索者不要支付贖金，避讓讓更多人受到傷害，如果每個人都不支付贖金，那麼黑客或許會放棄。）

更多勒索病毒解決方案，關注lofter:唐平

(附：關於加密演算法更多詳情請到維基百科AES：https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

RSA：https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95）

2016年3月14日更新：（查殺和防禦）

問：勒索病毒查殺哪家強?查殺後需要重裝系統么?病毒還會複發么?預防勒索病毒有什麼招？

答：騰訊管家率先推出勒索病毒查殺，測試有效查殺病毒源：鏈接：比特幣敲詐者

查殺後重裝系統變得不是那麼必要了。即使重裝也不排除二次感染。

勒索病毒現在基本無孔不入，非法侵入計算機方法太多了，防不勝防。

以後大家必須養成良好的習慣，可以有效預防勒索病毒。

1：硬體備份，要及時離線離線。（建議備份成RAR，並把後綴為非常規的類型，這樣就不在加密範圍內）

2：推薦dropbox雲備份。（dropbox有回檔功能,國內的雲備份暫時沒發現此功能.)

3：國內外各大殺軟基本都在3月5日後更新了針對勒索病毒庫，養成更新病毒庫的習慣很重要。

4：陌生郵件，陌生網站不要勇敢點擊。（特別是可執行的郵件附件和網站插件）

5：win10系統自帶的windows defender 現在已經完美防禦勒索病毒。

6：win系統伺服器不要在裸奔。案例：杭州某公司伺服器中勒索病毒後溯源發現，去年10月份已經被肉雞，mySQL自建許可權來去自如，正好今年3月8日伺服器要執行網售活動，7號凌晨淪陷，加密了5T多數據，生成了10.3萬個勒索信息，還好8號凌晨之前搞定了。後來一問，找上門的原來是國內某信息安全大咖，小弟實感佩服，裸奔栽了跟頭，溯源能做到極致的大神，怎麼也惹上這事?大咖說「我這是幫朋友弄，不是我的伺服器」，我相信中大型公司數據安全級別惹上這事的可能性很低。

7：公司共享伺服器建議設置高安全策略，強密碼訪問和讀寫。

8 ：個人電腦很多是80後90初感染的，他們是最早一批跟隨win系統的人，老司機什麼都不怕，但是這次給了很大的打擊，都是多年留下的數據，這不要割肉花錢消災了，我的建議還是我們80後也跟上00後的思路，非OSX不用就是，win系統是出名的漏洞補丁多，有幾個人會經常打補丁呢？

（以上建議，最主要還是1,2兩點，如果你做到了極致的備份，勒索病毒拿你一點辦法都沒有，查殺出來了病毒源，如果你數據還是重要，還是必須支付贖金購買私鑰才能恢復你的被加密文件）

9：綠盟科技（上市公司）提出的Locky預防方案，同樣對Cryptowall有效：鏈接：2016年3月24日

2016年3月3日更新：（新聞）

兩位密碼專家榮獲圖靈獎:發明公共密鑰密碼體系（新浪新聞）

密碼學科已經第三次斬獲計算機科學最高獎項」圖靈獎「

分別是：2002年 Ronald L. RivestAdi ShamirLeonard M. Adleman 的RSA公鑰加密學。

2012年 Shafi Goldwasser Silvio Micali 的密碼學複雜理論領域。

2016年3月3日 Whitfield Diffie Martin Hellman 的現代密碼學領域及SHA公鑰密碼體系，同時

他們站在了蘋果這邊反對政府的做法。

2016年2月28日更新：

問：如何免費解密一個加密文件？為什麼有人解密一個文件還收費？

答：黑客很早就提供了這項服務，任何中毒者可以免費解一個低於512KB的任意加密文件。

不需要任何費用可以解密1個文件，不要相信任何諮詢或者協助類的私人網站，倘若你要解密全部加密文件，你可以選擇淘寶擔保交易，也可以選擇你身邊的資深bitcoin老玩家進行此交易。

方法：打開黑客提供的網頁，找到

點擊上傳，等待幾分鐘即可。

我們試探性的問過黑客免費解一個文件的原因：

1）這是為了確認密碼伺服器可以自動檢索到你的私鑰。

2）確定你的私鑰是對應你的全部加密文件的公鑰不會出錯。

3）如果黑客網頁被牆了，把一個低於512KB的任意文件發送到追擊者郵箱 ransomware@126.com，我們收到後第一時間解密並免費返回給你。

2016年2月27日更新：

問:如何刪除這些殘留的勒索信息Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件？

答：淘寶店主經過多次測試成功用DOS一次性刪除所有以上產生的殘留文件。

在各個本地盤裡面打入bat代碼: del /s *recovery*?.txt *recovery*?.html *recovery*? .png /f /s /q /a

2016年2月26日更新：

問：勒索病毒的作者是誰？踢開計算機科學，從社會學，經濟學，心理學來考量Cryptowall是個什麼類型的病毒？

答：前方高能，高級猿禁入; 駭客（Cracker）有多可惡？ - 唐平的回答這個答案我寫出來後，非常多高級碼農私信我想了解更多東西，我覺得碼農不用過多參與此話題的討論，如果你是POLICE，請私信聯繫我，我有大於50%的把握能找出這個黑客或者某個黑客，但是需要更多計算機技術及警方資源方面的幫助。

2016年2月25日:更新，如果有中毒者的文件後綴全部變成了Micro，mp3，或者各種亂碼，這些都是cryptowall的特徵，cryptowall 具有加密文件隨機生成後綴文件名的功能，目前中毒者有不同加密文件後綴有不同的情況，其實都是cryptowall的作為，但是同樣不排除黑客模仿cryptowall 作案進行無良吸金。

RSA-4096的中毒者在每個文件夾下面都有三個同樣的文件: Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件內容為：

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?

All of your files were protected by a strong encryption with RSA-4096.

More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem).....等等。

2016年2月22日：更新

問：為什麼自行購買比特幣去支付贖金的風險風險大？

答： 1：比特幣交易是你用法幣（美元或者人民幣）去購買比特幣 2：然後你再用比特幣支付給黑客。 1所產生的風險是：比特幣沒有法償性，交易過程的風險不被法律保護，匯率波動大，交易過程被黑的概率是50%。2：即使你支付了比特幣給黑客同樣不能得到私鑰的概率是50% ！所有你自行支付贖金的風險接近風險1和風險2的級數:75%, 屬於高風險的行為,倘若你是高風險偏好者，完全可以自己去嘗試。

2016年2月21日：更新

問：為什麼過年那段時間支付贖金後5-10天後才拿到私鑰？（本人強烈不建議支付贖金給黑客）

由於此黑客膽子太大，把LA的醫院給黑了，惹毛了FBI，最近非常多中毒者支付贖金後，仍然會碰鼻，過去黑客能溝通，現在黑客隻字不提，最難受就是支付贖金後，不給解密私鑰和軟體，或者只給軟體不給私鑰，或者只給私鑰不給軟體。請大家慎重付款，所以暫時關閉支付教程，避免遭受更多損失。新聞鏈接：The hospital held hostage by hackers

2016年1月22日：

問：網上有私鑰下載，我可以使用嗎？

答：黑客更新 RSA 4096加密的的方案

同樣我買入了私鑰和軟體( 這是我本人測試某個中毒者的一個方案）

decryption software : 百度網盤：http://pan.baidu.com/s/1kTX3zuf

私鑰：Run decryption software, and enter your personal key: 6CAC0CC4F35B4C6772889D98A891A1192D33412A5ADD6E2EE9DCD2A8206D13EB

Press a button!

以下來自新浪博客鏈接：國內遭遇勒索病毒CryptoWall全過程轉載：。

博主明顯已經怒了！！那麼多年存的大量.....TB 文件啊。。可惜了。。日了狗了。。

這是一個不知羞恥的病毒！

為什麼這麼說？

1：cryptowall 是個RSA2048加密的病毒，公鑰用於加密你的文件，而私鑰被黑客保存在他的秘密伺服器。這是個沒招的解密方式，除非你拿到私鑰。

2：這個私鑰，黑客要收取500美金的贖金才能給你，如果在規定時間內，你支付不了！！那麼抱歉，贖金翻倍。

3：如果你放棄支付贖金，那麼你的數據將會被永久性加密。

（BTW，黑客在HELP_YOUR_FILE 中也提到，不要去嘗試其他方式去破解密鑰。最終你會無功於返！）

最近出現大量中毒者自己支付贖金被騙，所以隱藏，如果實在是被逼無奈，請私信我。
*隱藏支付教程*

*隱藏支付教程*

過了3-5個小時後，可以下載解密軟體了。！！

把decrypt.zip 解壓後，得到一個軟體。

（軟體我就公開給大家算了，不知道你能不能用！）

http://pan.baidu.com/s/1c1pmekw 360會報毒，黑客在上面提示也說了會報毒！

（目前已經測試針對其他電腦無效）

最後打開軟體跑起來了。。。哎！！

如果你中毒的是RSA4096的加密，請看2016年1月22日更新。

最後一切順利了，文件解密成功，備份文件到網盤！！媽的！！太坑了！！幾千大洋就這樣沒了！！請關注勒索病毒追擊者：我只能把自己的經歷寫在最下面，2016年2月25日更新：最新原創，我和勒索病毒3年里不的不說的二三事。

無解，如果現在突然可以破解公鑰加密的話，差不多可以宣布世界馬上要崩潰了

話說卡巴的那個decrypt工具無效，看他網上的指南，只能解密.crypt後綴的文件。我中招的文件沒有改任何後綴名。我自己把它改成.crypt後綴之後用該工具解密，他告訴我文件大小不一致。後來查看了所有加密文件和源文件，都有幾十位元組的大小差異。這工具顯然無能為力了。

無解的這個。。。每天Time Machine備份，重要文件放Dropbox。。

我也中毒了

三個文件1.RECOVERyaxpd.txt--&>&>NOT YOUR LANGUAGE? USE https://translate.google.com

What"s the matter with your files?

Your data was secured using a strong encryption with RSA4096.

Use the link down below to find additional information on the encryption keys using RSA4096:RSA (cryptosystem)

What exactly that means?

It means that on a structural level your files have been transformed. You won"t be able to use, read, see or work with them anymore.

In other words they are useless, however, there is a possibility to restore them with our help.

What exactly happened to your files?

*** Two personal RSA4096 keys were generated for your PC/Laptop; one key is public, another key is private.

*** All your data and files were encrypted by the means of the public key, which you received over the web.

*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.

What should you do next?

There are several options for you to consider:

1. You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or

2. You can start getting BitCoins right now and get access to your data quite fast.

In case you have valuable files, we advise you to act fast as there is no other option rather than paying in order to get back your data.

In order to obtain specific instructions, please access your personal homepage by choosing one of the few addresses down below:

Decrypt service

If you can"t access your personal homepage or the addresses are not working, complete the following steps:

1. Download TOR Browser - http://www.torproject.org/projects/torbrowser.html.en

2. Install TOR Browser

3. Open TOR Browser

4. Insert the following link in the address bar: k7tlx3ghr3m4n2tu.onion/C1CF2C4D3B8CDFB

5. Follow the steps on your screen

IMPORTANT INFORMATION

Your personal homepages:

Decrypt service

Your personal page Tor-Browser k7tlx3ghr3m4n2tu.onion/C1CF2C4D3B8CDFB

Your personal identification ID: C1CF2C4D3B8CDFB

2.RECOVERbqani.png

3.RECOVERyaxpd.html

表示無語，，，暫時沒感覺到危害，，，說是說文件加密了，，但是還是可以打開。只是電腦變得好卡，而且每個文件夾下都有這幾個文件。重啟一次增加三個。希望殺毒可以解決吧，實在不行就只能重裝系統了，，，還好沒什麼重要的東西

有沒有願意收徒的想找個師傅

今天是2017年5月17日，wanna cry還未被破解。

weibo上出現了不少可行性不高（騙人）的解法：

用空密鑰重複加密（並不可以）；

調整系統時間至數年後（沒試過，但應該不可行）；

聲稱開發了特殊工具恢復被刪除文件（這並不是新發明，各種專業或非專業的數據恢復工具應該都可做到，但這並不是破解病毒，而且恢複數據很有限，很可能只得到無意義的二進位文件）；

運用社會工程學知識，發送偽造的比特幣支付地址向勒索者索要密鑰（不可行）；

向勒索者發送求情文件，懇求解密（勒索者並未留下郵箱，這種做法顯然不可行）；

待續……

各位，有人遇到過這樣的病毒嗎？怎麼破

請問一下我的電腦剛剛中了病毒看其提供的網頁描述應該為你所提到的病毒，但是他並沒有修改任何文件後綴只是在每一個文件夾里都添加了圖片、網頁快捷方式和文本以及替換了桌面，我的D盤顯示0位元組可用。照片文本視頻均可正常打開，請問我這種情況到底是怎麼一回事，謝謝您

上周五，同事的機器感染病毒，出現的情況描述是一致的，但是文件格式改成了xx.docx.crypz，請問您了解這個是這病毒嗎？是變種還是其他模仿者的做法？其實是最關心的那個卡巴斯基和趨勢這兩家現在的版本出現到了什麼情況。是否能破解了。

===================

6.21

今天發現，百度網盤上上傳的文件也被加密了。這是什麼情況，大家有遇到過嗎~~

格式是不是不全啊？txt的和視頻類的的不能解開。其他的沒問題。當然.cerber還是依舊。

scan後出現The decryption of files encrypted by this variant of torjan -ransom win 32crypt xxx is not supported是什麼意思

這個病毒感染的文件，咋處理呢

ORIGINAL COPY OF THE SPECIFIED FILE IS REQUIRED FOR SUCCESSFUL DECRPTION。 YOU NEED TO SPECIFY THE PATH TO THIS ORIGINAL COP0Y AFTER PRESSING THE BUTTON CONTINUE。

樓主，我不行呢。求解。彈出這個。

已經按操作點擊鏈接進行掃描中，但文件會恢復嗎？

我也中了這個病毒，也要求交贖金，怎麼辦，這個市公司的電腦，很多東西都重要，找不回來了怎麼辦啊，速回，謝謝

正在查資料寫論文就中毒了，把評論看了一下又瀏覽了一下電腦果斷要去格式化。就想問一下如果把重要的文件留下來有沒有可以恢復的一天

onion暗網黑客

請教，我中了rsa4096，第二天衝動地去了數據恢復公司做了數據恢復，失敗，請問已經做過數據恢復的，會不會因為源文件被動，在以後解密後圖片出現亂碼呢，假如真的有方法解開或支付美金的話，後來仔細閱讀黑客的英文文檔，他好像說一但自己動數據就意味著永遠失去了

這個病毒之前應該也偶有爆發, 但今天似乎擊中爆發了一波, 目前已經有多人中招了,

這個病毒會將你的文檔文件篡改並RSA加密導致這些文件都無法被打開,這些被感染的文件都是以.micro結尾的(也有可能是其它異常文件後綴),就目前
的情況來看,該病毒在今天集體爆發了一波, 你需要按照嘿客的指引去給他支付500美刀才能給你把這些文件解密出來, 否則你自己只能重裝系統,

你可以在你的用戶文件夾(C:UsersXXX用戶名AppDataRoaming)找到一個cnoflhe45.exe的文件然後將其通過安
全軟體粉粹掉, 不要通過普通的刪除來刪除掉,
你刪除不掉的(正在被佔用),建議你全局搜索下這個文件名(cnoflhe),通過找出病毒木馬並解決掉防止其繼續感染