前言
Amnesia 勒索软件于 2017 年 4 月 26 日开始出现。Amnesia 主要通过 RDP(远程桌面服务)暴力攻击进行传播,允许恶意软件作者登录受害者的服务器并执行勒索行为。
特征
AES-256 加密算法对您的文件进行加密。加密后的文件会被重命名为 *.amnesia,赎金信息存放在名为“HOW TO RECOVER ENCRYPTED FILES.TXT”的文件中,并要求您联系“s1an1er111@protonmail.com”。这些信息通常会出现在您的桌面上。
一旦犯罪分子获得访问权限,恶意软件会删除系统的恢复点,使得无法通过卷影副本来恢复文件。此外,它会将自身复制%APPDATA%目录下并在“HKEY_CURRENT_USER\SOFTWARE\Microsoft\CurrentVersion\RunOnce项注册自身,以实现下次启动自动运行。
Amnesia 使用 AES-256 加密算法以 ECB 模式对最多 1 MB 的文件进行加密。一旦文件被锁定,恶意软件会在文件名后添加“.amnesia”扩展名。
工具使用说明
重要提示:务必先从系统中删除恶意软件。否则,它可能会反复锁定系统或加密文件。任何可信的防病毒软件都可以帮助您完成这一步骤。如果您的系统通过 Windows 远程桌面功能遭到入侵,我们建议您更改所有用户的密码,并检查本地用户帐户中是否有攻击者可能添加的其他帐户。
解密器需要访问一个加密文件和该文件的原始未加密版本,以重建解密所需的加密密钥。请不要更改原始文件和加密文件的文件名,因为解密器可能会根据文件名来确定正确的文件扩展名。
1.公众号后台发送 Amnesia,以下载解密器。
2.下载后,选择您的文件,然后将其拖放到解密器可执行文件上。
3.释放鼠标键后,解密器将开始重建所需的加密参数。这个过程可能需要一段时间。
4.解密器完成恢复过程后,将显示重建的加密详细信息。显示纯粹是信息性的,用于确认已找到所需的加密详细信息。
5.接下来会显示许可条款,您需要点击“是”按钮来同意。
6.同意许可条款后,将打开主解密器用户界面。
7.默认情况下,解密器将预填驱动器和网络驱动器作为解密位置。您可以使用“添加”按钮添加其他位置。同时,您还可以通过拖放方式向对象列表中添加要解密的文件和位置。
8.解密器通常会根据不同的勒索软件系列提供各种选项。这些选项位于“选项”选项卡中,可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。
9.将要解密的所有位置添加到列表后,点击“解密”开始解密过程。屏幕将显示当前文件处理进度和解密状态。
10.解密过程完成后,解密器显示完成。
11.如果需要报告记录,您可以通过点击“保存日志”来保存。
解密器目前实现以下选项:
保留加密文件
由于勒索软件不会保存有关未加密文件的信息,解密器无法保证解密数据与之前加密数据完全相同。
因此,默认情况下,解密器会保留加密文件。如果您希望在解密后删除加密文件,则可以禁用此选项。如果磁盘空间有限,可能需要考虑这一点。
工具下载地址
solar专业应急响应团队公众号
回复关键字【Amnesia】获取下载链接