前言

Amnesia 勒索软件于 2017 年 4 月 26 日开始出现。Amnesia 主要通过 RDP（远程桌面服务）暴力攻击进行传播，允许恶意软件作者登录受害者的服务器并执行勒索行为。

特征

AES-256 加密算法对您的文件进行加密。加密后的文件会被重命名为 *.amnesia，赎金信息存放在名为“HOW TO RECOVER ENCRYPTED FILES.TXT”的文件中，并要求您联系“s1an1er111@protonmail.com”。这些信息通常会出现在您的桌面上。

一旦犯罪分子获得访问权限，恶意软件会删除系统的恢复点，使得无法通过卷影副本来恢复文件。此外，它会将自身复制%APPDATA%目录下并在“HKEY_CURRENT_USER\SOFTWARE\Microsoft\CurrentVersion\RunOnce项注册自身，以实现下次启动自动运行。

Amnesia 使用 AES-256 加密算法以 ECB 模式对最多 1 MB 的文件进行加密。一旦文件被锁定，恶意软件会在文件名后添加“.amnesia”扩展名。

工具使用说明

重要提示：务必先从系统中删除恶意软件。否则，它可能会反复锁定系统或加密文件。任何可信的防病毒软件都可以帮助您完成这一步骤。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们建议您更改所有用户的密码，并检查本地用户帐户中是否有攻击者可能添加的其他帐户。

解密器需要访问一个加密文件和该文件的原始未加密版本，以重建解密所需的加密密钥。请不要更改原始文件和加密文件的文件名，因为解密器可能会根据文件名来确定正确的文件扩展名。

1.公众号后台发送 Amnesia，以下载解密器。

  2.下载后，选择您的文件，然后将其拖放到解密器可执行文件上。

3.释放鼠标键后，解密器将开始重建所需的加密参数。这个过程可能需要一段时间。

4.解密器完成恢复过程后，将显示重建的加密详细信息。显示纯粹是信息性的，用于确认已找到所需的加密详细信息。

5.接下来会显示许可条款，您需要点击“是”按钮来同意。

6.同意许可条款后，将打开主解密器用户界面。

 

7.默认情况下，解密器将预填驱动器和网络驱动器作为解密位置。您可以使用“添加”按钮添加其他位置。同时，您还可以通过拖放方式向对象列表中添加要解密的文件和位置。

8.解密器通常会根据不同的勒索软件系列提供各种选项。这些选项位于“选项”选项卡中，可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。

9.将要解密的所有位置添加到列表后，点击“解密”开始解密过程。屏幕将显示当前文件处理进度和解密状态。

10.解密过程完成后，解密器显示完成。

11.如果需要报告记录，您可以通过点击“保存日志”来保存。

解密器目前实现以下选项：

         保留加密文件

由于勒索软件不会保存有关未加密文件的信息，解密器无法保证解密数据与之前加密数据完全相同。

因此，默认情况下，解密器会保留加密文件。如果您希望在解密后删除加密文件，则可以禁用此选项。如果磁盘空间有限，可能需要考虑这一点。

工具下载地址

solar专业应急响应团队公众号

回复关键字【Amnesia】获取下载链接