CryptoLocker 的勒索軟體(Ransomware)解鎖方法(增加歐西裡斯勒索 osiris 病毒解決方案)

2013 年 9 月初,一隻名為 CryptoLocker 的勒索軟體(Ransomware)開始出現,它會悄悄地將受害者電腦裏的檔案加密,讓使用者無法開啟檔案,也沒辦法破解加密,並挑出要求付贖金才會給予解密方式 … 小編也曾於 2015.05.15 寫過一篇「請小心加密勒索病毒 TorrentLocker 及 Crypt0L0cker」文章說明目前並未有恢復檔案的方式,只能消極的亡羊補牢減少災害。

2015年 5 月底,有了不一樣的發展!Locker Ransomware 作者在國外知名網站 Pastebin 上貼出了一篇道歉文,指稱他從來無意散佈勒索軟體,對此他非常抱歉(請參閱:http://pastebin.com/1WZGqrUH),其中作者並且公開了所有公鑰與私鑰的資料庫以及加密演算法和解密演算法,國外資安人員 Nathan Scott 隨即在自己的 Twitter 上公佈解鎖軟體,提供遭到 Locker Ransomware 勒索軟體大眾解鎖自己的檔案。
0a
(圖片來源: ASRC 垃圾訊息研究中心)

這個在 2014 年 11 月已有 IT 相關論壇網站公佈此訊息,只是小編一直沒有實際樣本可以測試,所以呢就只好轉貼 ASRC 垃圾訊息研究中心所提供的流程,給中此病毒朋友應急解鎖試試。
以下提供解密的步驟圖文是轉貼自 ASRC 垃圾訊息研究中心,小編稍做潤飾:
1. 受害者必須付出比特幣贖金後才能解密,在最後也警告受害人勿嘗試移除或調查Locker,否則解密私鑰可能永遠取不回來。若您為受害者,以下將提供您解密的方法,請記下這個畫面顯示出來的 Payment address
0b

2. 請先行下載 Locker 解密軟體:https://easysyncbackup.com/Downloads/LockerUnlocker_v1.0.8.0.exe

3. 下載解密軟體後開啟,並輸入您在受害時的 Payment Address。
1

4. 若您已遺失 Payment Address,Nathan Scott 解密程式貼心的設計了自動解密,點擊「Brute BTC」後選擇被加密檔案可自動比對出 Payment Address,並且自動帶入,直接按下一步即可。
2

5. 要特別注意的是,若選擇了資料夾解密的功能,這個資料夾內原本沒有被加密的檔案都可能被破壞掉,因此,絕對不能選擇解密整個磁碟
3

6. 進入下一步後選擇檔案被加密的所在目錄開始執行後等待,若您無法確認檔案可以正常解鎖,請勿選擇自動刪除加密檔案
4

7. 執行完畢後即可到該目錄查看檔案。
5

8. 檔案確實已經完成解密,原來被 Locker 加密檔案會加上「.LOCKERCRYPTBACKUP」做為備份,解密確認沒有問題後,可刪除原加密檔案。6

Locker Ransomware 這個惡意勒索軟體攻擊暫時告一個段落,但在獲利豐厚的誘因下,勒索軟體變種病毒會越來越多,這個解密的方式遲早會有失效的一天。鑑於現有的防毒機制,仍無法立即跟上勒索軟體變種速度,所以小編建議亡羊補牢不如事先預防,切勿任意開啟來路不明郵件或程式,並且定期做備份,而備份的磁碟應保存於離線的情況較為安全

2016.12.12 更新一下:
Lockunlock 這個好像已經失效了,因為現在勒索病毒變種的太厲害,所以已經是英雄無用武之地!其實可以參考趨勢科技的勒索病毒檔案解密工具,網址:http://esupport.trendmicro.com/solution/zh-TW/1114221.aspx,目前已經可以解數十種以上的加密檔案。

2016.12.19 更新 謝謝網友 tommert 提供歐西裡斯勒索 osiris 病毒解決方案:
請參閱:https://virus-removal-guide.com/zh-tw/5155-what-is-osiris-ransomware/ 有詳細說明。

一般留言 (100)

  1. 你好, 我下載不到ckerUnlocker_v1.0.8.0.exe, 請問有沒有其他辦法取得,謝謝

  2. 是否已被破?因為已在PAYMENT內COPY了ADDRESS,但不能作出GENERATE

  3. 版大:
    本人最近遇到一個CASE,也關於綁架軟體的事情。近期看到卡巴斯基有解決綁架軟體的工具。還是2016年更新的。但是有些還是尚未解密成功,已和實驗室聯繫中,並把加密檔給實驗室了。

  4. Hi
    我執行程式後 選擇被加密的.ccc檔案 之後按GO
    程式就跳出視窗 關閉程式或線上是否有解決方案

    這代表我跟他無緣嗎??

    • 有可能:
      1. 加密程序可能已經被破壞了!無法比對出金鑰.
      2. 遇上變種的加密病毒,只能再找新的解密程式.

  5. 請問如何知道中的病毒版本??我的電腦中了病毒,可是沒有勒索信,怎麼辦??

    • 你找找你的桌面應該會有三個勒索信!若沒有先確認你被加密的病毒檔案類型是什麼也可以分辨出來!

      • 您好,病毒是將檔案副檔名改為.crypz,但是確實沒有找到勒索信,中毒到現在也沒有出現檔案被刪除的現象,中毒的檔案是.docx,.jpg,.mp4等,但是2003版的.doc都沒事。
        請問上面提供的軟體對此病毒有用嗎??不敢亂使用,怕破壞原檔案

  6. 昨天碰上.cerber病毒一點點侵入電腦,到今早整個電腦都被加密病毒了…勒索信1000比特幣付不起啦!媽的

  7. 今天也中了,有勒索照片.網頁.文字,照片跟音樂副檔名沒變,但一樣無法開啟,這有辦法解嗎?

    文字內容如下

    NOT YOUR LANGUAGE? USE https://translate.google.com

    What happened to your files ?
    All of your files were protected by a strong encryption with RSA4096
    More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

    How did this happen ?
    !!! Specially for your PC was generated personal RSA4096 Key , both public and private.
    !!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
    !!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

    What do I do ?
    So , there are two ways you can choose: wait for a _miracle_ and get _your_ PRICE DOUBLED! Or start obtaining *BITCOIN NOW! , and restore _YOUR_ _DATA_ easy way
    If You have really valuable _DATA_, you better _NOT_ _WASTE_ _YOUR_ _TIME_, because there is _NO_ other way to get your files, except make a _PAYMENT_

    For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

    1 – http://bnfxhjxjvoul7cp7.onion.to
    2 – http://bnfxhjxjvoul7cp7.onion.city

    If for some reasons the addresses are not availablweropie, follow these steps:

    1 – Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
    2 – Video instruction: https://www.youtube.com/watch?v=NQrUZdsw2hA
    3 – After a successful installation, run the browser
    4 – Type in the address bar: http://bnfxhjxjvoul7cp7.onion
    5 – Follow the instructions on the site

    • 現在針對加密病毒解決方式已趨近成熟,你可以參考趨勢科技的勒索病毒檔案解密工具,網址:http://esupport.trendmicro.com/solution/zh-TW/1114221.aspx,目前已經可以解數十種以上的加密檔案。

  8. 目前有人解開了嗎 最近中了 頭很大

  9. 我剛剛也中了….檔案的名字是(….).8352, 目是還沒有解鎖方法,頭也大了….

    • 目前還沒有看過此災情,可能是新的變種,小編會持續觀察看一下.或者你可以提供中毒畫面貼過來看一下.

  10. 今天中毒,好想哭,不知道是那一支勒索病毒,副檔都變成.8795,有誰知道嗎?
    螢幕出現四行英文字和有人說話聲(小孩說的因為那時候是他們在使用時發生)
    連outlook都開不了!
    請教達人們救救我這無知的大嬸吧,感謝!

    • 目前還沒有看過此災情,可能是新的變種,小編會持續觀察看一下.或者你可以提供中毒畫面貼過來看一下.

    • 你好 我是剛剛才中標的 檔案副檔名均被更改為.bd4c 這個也是目前找不到解法的 我整個傻眼 。。。

    • 請參閱:https://virus-removal-guide.com/zh-tw/5155-what-is-osiris-ransomware/ 有詳細說明

  11. https://easysyncbackup.com/Downloads/LockerUnlocker_v1.0.8.0.exe。

    我就是下載不下來 小編能幫忙嗎]?另外 有聽說有人解過副檔名 .A631?

    • Lockunlock 這個好像已經失效了,因為現在勒索病毒變種的太厲害,所以已經是英雄無用武之地!其實可以參考趨勢科技的勒索病毒檔案解密工具,網址:http://esupport.trendmicro.com/solution/zh-TW/1114221.aspx,目前已經可以解數十種以上的加密檔案。

  12. 不知道是那一支勒索病毒,我的副檔名都變成OSIRIS….
    檔名變成類似799BFCF1–3290–5FD6–875ADB4F–487C744EED72 ….這樣的不規則碼…
    有可解救嗎???

    • 目前沒有,小編是有看到對岸有幫忙解決的方案(但是是要錢的 …),若真的有很重要資料,可以用Recuva等檔案救回軟體去撈撈被更改前的檔案(當然前提是用另一台電腦去救,且不要連網);若資料不是很重要的話,重新安裝系統嚕。

  13. 這兩天莫名的中了勒索病毒,檔案副檔名全成.osiris,發現是新變種還無法解…真是欲哭無淚T_T…不知道解密軟體更新要等多久…

    • 真的沒有內,曾有網友也是中一樣病毒留言詢問,小編之前是有看到對岸有幫忙解決的方案(但是是要錢的 …),若真的有很重要資料,可以用Recuva等檔案救回軟體去撈撈被更改前的檔案(當然前提是用另一台電腦去救,且不要連網);若資料不是很重要的話,重新安裝系統嚕。

    • 謝謝你提供的資訊,小編更新上去囉.

    • 請參閱:https://virus-removal-guide.com/zh-tw/5155-what-is-osiris-ransomware/ 有詳細說明

  14. 跟各位報告,我剛也中標了,檔案檔名皆被改為 (英文大小寫+數字 都是亂排的)
    副檔名統一為.bd4c 在網路也找不到解法。。。

  15. 请问osiris 在哪里有解决方案,资料很重要

  16. 今天也中了 QQ檔案檔名皆被改為 (英文大小寫+數字 都是亂排的) 副檔名統一為.9fa2 目前還沒找到解法

  17. 請問這個CERBER DECRYPTOR目前有辦法解嗎

  18. 您好,我家電腦昨天也中了……副檔名是.ac66
    此毒目前有解嗎?(´・_・`)

  19. 你好,我的電腦也中毒了,副檔名為.hat 和.9578
    有解毒的辦法嗎

  20. 我也中了不懂檔名,只看道後面全是bc55看不懂,不知能解嗎?

    • 請參閱:https://virus-removal-guide.com/zh-tw/5155-what-is-osiris-ransomware/,謝謝。

      • 感謝您,有近去看了,但不能下載,說是不支援,是要買付費軟體嗎?
        因為裏面是我家小孩的照片,沒有備份,如果可以解買軟體也可以

        • 你好,網址內你只需要參考「手工清除指南 歐西裡斯 病毒」和「如何解密檔感染 歐西裡斯 病毒」這兩個步驟,若此兩個步驟無法解決那就真的沒解了!至於在文末提供的軟體,因為小編沒有實際使用過,所以也不知道是否真的有用!所以是否要付費使用請斟酌!謝謝。

  21. 不能下載…

    • 因為現在勒索病毒變種的太厲害,所以已經是英雄無用武之地!其實可以參考趨勢科技的勒索病毒檔案解密工具,網址:http://esupport.trendmicro.com/solution/zh-TW/1114221.aspx,目前已經可以解數十種以上的加密檔案。

  22. 2017年3月4日 星期六本人在管理大樓使用資訊室的右側電腦中毒造成外接硬碟的記憶卡、錄音筆的照片、音樂檔案被Cerber Ransomware感染無法看本人拍的公車照片或聽本人製作的音樂,檔案變成副檔名.8c64,在我校兩學生電腦遭勒索病毒入侵 文件全被加密不給錢不解鎖(http://tw.112seo.com/article-2549166.html)看到擊後彈出的內容顯示文件和相關數據已被“Cerber Ransomware”加密,解密的唯一方式是購買特別的解密產品“Cerber Decryptor”。請問有什麼方法可以恢復本人的公車照片、本人製作的音樂。

  23. 所有照片跟資料的副檔名變成 .b40e,檔名都是亂數命名。去了您提供的趨勢科技網頁,下載之後也辨識不出來。
    每個資料夾都多出三個檔案
    _read_this_file_4p3taq0
    _read_this_file_n8nl
    _read_this_file_tf00ij

    請問有解嗎?

  24. 不好意思 請問一下 我中的勒索病毒 副檔名是a538

    _READ_THIS_FILE_4H2A9B_.txt 每個資料夾都有這種檔案@@

  25. 所有照片跟資料的副檔名變成 .9d4a,檔名都是亂數命名
    每個資料夾都多出五個檔案
    _READ_THI$_FILE_NLIPA_.jpeg
    _READ_THI$_FILE_QPND2DB_.hta
    _READ_THIS_FILE_B2ZXV_.hta
    _READ_THIS_FILE_WLSO4D_.txt
    _READ_THI$_FILE_CGYDV_.txt

    開啟.jpeg檔 第一行顯示
    Cerber Ransomware

    這個算最新的病毒嗎?
    下載趨勢科技的勒索病毒檔案解密工具無效!
    真心覺得發明這個病毒的真有才! 中毒的人真的會瘋掉~~大家的回億現在都靠照片與影像.

  26. 照片檔案名稱是10個英文或數字最後都是,ab38是cerber v1嗎?有辦法解嗎?謝謝

  27. _READ_THI$_FILE_ADR7_
    _READ_THI$_FILE_HFPBBP_
    lMLFKK2LZv.95ec
    mcWGadHJXw.95ec
    有辦法解嗎?謝謝

  28. 檔案名稱是4gzpqRplV5.afa4,請問有辦法解嗎?謝謝

  29. 所有的附檔都是afa4,不知這是哪一類型的勒索病毒?
    請問一下,該如何解?

  30. 所有照片跟資料的副檔名變成 .829f 有辦法解嗎?

  31. 附檔名是b086有辦法解嗎?
    –>這是勒索的網址http://p27dokhpz2n7nvgr.onion/B70B-D84A-1FDB-0502-9991

  32. 照片及影片無法開啟,檔名後面多了onion,請問有何方式解決呢?

  33. 板主好,
    我的是每個檔案後面都是
    .id_828817553_2irbar3mjvbap6gt.onion.to._
    可是我沒有收到勒索的信件,
    但這應該也是勒索病毒的一種吧QQ

  34. 副檔名onion_ 求救

  35. 請問一下,我中的勒索軟體一樣是要我付贖金,但檔案名稱都沒有變動,不知道是不是最新的,使用的是RSA-2048,而且密碼再它們私人伺服器,有沒有辦法可解?麻煩您了

  36. 檔名跟附檔名沒變後面多了 .a125 有救嗎QQ

  37. _HELP_HELP_HELP_1GLMBL_.hta
    _HELP_HELP_HELP_CX5S_.png
    多了這2個檔案QQ

  38. 剛剛看到所有的資料都加上了這一大串id_3148077064_fgb45ft3pqamyji7.onion

  39. 您好~ 媽媽的電腦中標了囧 絕大部分檔案的副檔名都變成 .id_1614629370_gebdp3k7bolalnd4.onion._
    有下載樓上網址內的解碼檔案, 但不適用T_T
    請問這算是歐西裡斯勒索嗎?

  40. 急需幫助的女子

    請問小編 我中了 CERBER RANSOMWARE病毒
    目前有解法嗎?

  41. 我的隨身硬碟開啟時中了勒索病毒
    檔名後面全變成bc55
    請問有解嗎
    我找了很多網站沒有跟我一樣的檔名

  42. 我的硬碟中了勒索病毒,檔名後面全變成bf69,依上述發布者疑似為HydraCrypt,但依小編所提方法來處理,找到兩個相同檔案一個是被加密一個沒有,皆放到decrypt_hydracrypt後出現”Decryption key not found”,是代表不是這個病毒而不能解密嗎?

  43. _READ_THI$_FILE_0CX0_ 大大~~能幫助怎麼解嗎
    謝謝
    資訊寄信鄉告知~~
    謝謝大大 幫個忙…

  44. 您好,我的檔案在2015年中毒
    副檔名為.edcrypted
    硬碟當時就直接不用了
    不知道目前有辦法解密嗎?
    結婚照片以及小孩的出生照都被鎖住
    希望有方法可以解決

發表留言