【安全技巧】勒索病毒文件解密好思路：nomoreransom.o

 勒索软件攻击通常通过可执行文件、存档或图像等电邮附件来传递。打开附件后，恶意软件将被释放到用户的系统中。网络罪犯也可以在网站上种植恶意软件。当用户不知不觉浏览该网站时，恶意软件已被释放到系统中。

    用户将不会立即发现设备被感染。恶意软件将在后台静默运行，直到部署系统或数据锁定机制被启动。届时会弹出一个对话框，告诉用户数据已被锁定，并要求赎金以解锁。这时候采取任何安全措施都将为时已晚。

 一、No More Ransom网站介绍

    近年来遭受勒索病毒（Ransomware）侵扰的机构层出不穷，其中不乏政府机关、医院、学校或中小企业公司，甚至许多人的家用电脑都曾经中毒。一般来说，勒索病毒惯用手法是隐藏在软件或邮件附件中，通过其他格式并通过诱惑性名称伪装欺骗点击执行，当使用者不小心执行后，它就会在电脑内进行部署执行，最终将所有文件加密变成无法存取使用，并跳出支付赎金窗口来胁迫使用者取得解密密钥恢复文件，而且使用数字货币如比特币（Bitcoin）技术，使最烦更难以被追踪。

    本文重点介绍一个叫做「No More Ransom」网站，一个勒索病毒对方的专业网站，以专门对付勒索病毒为主，网站来头不小，由 Intel Security、Interpol、荷兰警方和卡巴斯基安全实验室联手打造！主要是协助使用者对抗危害，提供各种已知公开密钥并提供解密破解工具，让使用者在不支付勒索赎金的情况下恢复重要文件档案。

    与其说 No More Ransom 是一个提供解密工具的网站，倒不如说他是一个教育使用者如何避免遇到勒索病毒危害的安全意识教育网站，内容简单扼要一目了然，例如：如何备份资料、只打开认识且信任的联络人邮件附件、安装防病毒软件、让电脑更新保持最新状态，这些虽是老生常谈，谨记在心的准则。

    此外，No More Ransom 还提供线上勒索病毒检测平台，使用者只要上传自己被加密后的档案，它就能从该组织拥有的 16 万组解密密钥中找出能够解锁的方式，还会让你免费下载合适的恢复工具，接下来我就简单介绍一下 No More Ransom 这个网站的使用方法吧！

二、使用方法

STEP 1

打开 No More Ransom网站!

网址：https://www.nomoreransom.org/ 网站后，首页会直接询问是否要协助你解锁、恢复你被加密的文件，而不用支付给骇客赎金？

点选 YES 后会进入检测平台，如果点选 No 则会有一系列的防护安全知识供使用者参考学习，提供中文支持非常方便阅读。

STEP 2

    No More Ransom! 的“解码刑警”加密档案自我检测平台相当厉害，可能是目前互联网上少数免费提供这项服务的网站！

    简单来说，使用者只要点选左侧两个按钮将被加密的任意两个文件选取、上传，右侧则是填入你在支付赎金页面看到的 Email、网址，这部分需要确认无误，以避免找不到可以解密的密钥或工具，你也可以直接上传勒索病毒留下来的讯息（.txt 或 .html 格式）。

    最后，点选下方按钮，No More Ransom! 就会找出可能可以解密、恢复文档的密钥让你免费下载，或者可能可以还原恢复文档的免费工具。

STEP 3

    在网站的“解密工具”页面下，提供各种勒索病毒家族一系列可协助处理、修复或救援被勒索病毒加密后的工具（CoinVault、RannohDecryptor、RakhniDecryptor、ShadeDecryptor），都有各自对应可以处理的勒索病毒家族归类格式。

    不过在下载前请务必先阅读使用说明，尤其要先确保勒索病毒已经从你的系统被完整移除，避免在解密后又被重新加密造成文档资料损毁，建议安装必要可信赖的防病毒软件。

    目前勒索病毒的数量相当多，而且不断变种，有更多型态出现，现阶段破解工具还无法涵盖所有的勒索病毒，不过 No More Ransom! 网站提醒：尽量不支付赎金给这些病毒的制造者和勒索罪犯，一来你会让这些人认为有利可图，进而找出更多方法来入侵其他使用者电脑；二来支付赎金获取的解密密钥也可能无法使用！让你掉入被诈骗的陷阱当中。若你真的不幸中了勒索病毒，请记得先到 No More Ransom 网站找找解决办法。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！