如何移除CoinVault勒索軟體並還原您的檔案

2015-05-12 若您不幸成為勒索軟體的受害者,大多數的情況下您將無計可施。所幸歷經長期努力之下,警察單位及網路安全公司合作破獲勒索軟體的伺服器,並由其中檢索出一些資訊。這些資訊非常有用,因為它有助於開發出解密工具並且還原使用者的檔案。最近荷蘭網路警察和卡巴斯基合作開發出一套針對CoinVault勒索軟體受害者的解決方案。 若您想進一步了解CoinVault為何,可閱讀我們的detailed report at Securelist文章。若您對我們如何創造出解密的解決方案有興趣,我們在卡巴斯基blog post已做了詳細的揭露。若您正在尋求如何擺脫這款勒索軟體的威脅並還原您的檔案,請您閱讀以下的文章。 步驟1:您是否已經感染了CoinVault? 首先,請先確認您的檔案是被CoinVault而非其他的勒索軟體竊取。檢查方式非常簡單:若您被CoinVault感染,將會看到以下的畫面: 步驟2:取得比特幣錢包位址 在CoinVault畫面右下角您會看到比特幣錢包的位址(如上圖黑圈標示處)。複製及儲存此位址對您而言是非常重要的。 步驟3:取得被加密檔案列表 在惡意軟體畫面的左上角,您可以查看到 'View encrypted filelist'按鈕(如上圖藍圈標示處)。按此按鈕並另存新檔。 步驟4:移除CoinVault 前往http://www.jadespring.com.tw/downloads-internet-security.html並下載卡巴斯基網路安全軟體試用版。安裝後它將從您的系統中移除CoinVault。請先確認於步驟2及步驟3取得的所有資訊都已經儲存。 步驟5:前往http://noransom.kaspersky.com網站 在http://noransom.kaspersky.com網站您可以輸入自步驟2中取得的比特幣錢包位址。若您的比特幣錢包位址為已知,IV及key將會顯示在螢幕上。請注意有可能會顯示多筆的key及IV資料。在此情況下,儲存所有的key及IV到您的電腦中,稍後您將會用到它們。 步驟6:下載解密工具 於https://noransom.kaspersky.com下載解密工具並於您的電腦中執行。若您看到如下圖的錯誤訊息,請接步驟7。若未顯示錯誤訊息,則跳過步驟7直接進行步驟8。 步驟7:下載並安裝additional libraries 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779並依照網頁指示操作,然後下載此軟體。 步驟8:開啟解密工具 打開此工具後您將看到下列畫面: 步驟9:若解密作業正確運作請執行以下測試 在第一次執行解密工具時,我們誠摯的建議您執行解密測試。請依照下列步驟:
  • 在"Single File Decryption"中點選"Select file"按鈕並選擇您欲解密的檔案;
  • 輸入網頁顯示的IV至IV欄位;
  • 輸入網頁顯示的key至key欄位;
  • 點選"Start"按鈕。
然後查看新增的檔案是否已被確實解密。 步驟10:解密所有被CoinVault竊取的檔案 若步驟9都進行順利,接著您便能馬上著手還原您的檔案。請選擇步驟3中的檔案列表,輸入IV及key並點選start。若有需要您可選擇"Overwrite encrypted file with decrypted contents"。 完全免費,還原您被CoinVault竊取的檔案 在您輸入比特幣錢包位址時,若收到多筆的IV及key,請務必小心。此時我們無法百分之百確定多筆的IV及key當中何者是比特幣錢包的真正來源,我們誠摯地建議您不要勾選"Overwirte encrypted file with decrypted contents"。若是解密發生問題,您可以其他IV及key的組合繼續嘗試,直到檔案成功解密為止。 若是您一直都沒收到IV及key,您可以等候並查看https://noransom.kaspersky.com。調查作業仍持續進行中,我們也將儘快增加新的key資料。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 來源:卡巴斯基官方部落格 原文網址:http://blog.kaspersky.com/coinvault-ransomware-removal-instruction/ 原文標題:How to remove CoinVault ransomware and restore your files