在 2023 年 10 月,我们发布了一篇包含 Rhysida 勒索病毒技术分析的
。我们在文章中故意省略了我们已经知道该勒索病毒存在的加密漏洞达数月之久的事实,并且自 2023 年 8月以来,我们已悄悄地向受害者提供了我们的解密工具。得益于我们与执法部门的合作,我们能够默默地帮助了许多组织免费解密其档案,让他们重新恢复功能。由于
,我们现在向所有 Rhysida 勒索病毒的受害者公开发布我们的解密工具下载。
Rhysida 勒索病毒自 2023 年 5 月以来一直在活动。截至 2024 年 2 月,他们的 TOR 网站上列出了 78 家受攻击的公司,包括
IT(资讯科技)行业、医疗、学术机构和政府组织。
使用解密工具
请仔细阅读以下说明。成功率依赖于这些规则。
受感染的 PC 的几个参数会影响文件的加密(和解密):
- 驱动器字母的集合
- 文件的顺序
- CPU 核心数量
- 执行的勒索病毒样本的位数
- 加密前的文件格式
因此,在解密文件时必须遵循以下规则:
- 解密器必须在文件被加密的同一台机器上执行
- 密码破解过程必须在文件被加密的同一台机器上执行
- 不能将其他机器的文件复制到执行解密过程的机器上
- 文本文件(源文件、INI 文件、XML、HTML 等)必须有一定的最小大小才能被解密
64 位样本的 Rhysida 加密工具更为常见。因此,解密器的预设配置假定为 64 位加密器。如果确定使用的是 32 位版本(例如,如果您使用的是 32位操作系统),则可以通过以下命令行参数将解密器切换到 32 位模式:
avast_decryptor_rhysida.exe /ptr:32
如果想要检查解密过程是否能在不更改文件的情况下工作,可以使用解密器的“测试模式”。此模式可以通过以下命令行参数激活:
avast_decryptor_rhysida.exe /nodecrypt
Rhysida 解密器也依赖于已知的文件格式。常见的文件格式,如 Office文件、压缩档、图片和多媒体文件已经受到支持。如果您的加密数据包含不太常见或专有格式的有价值文件,请联系我们:。我们可以分析文件格式,并在可能的情况下将其支持添加到解密器中。
使用解密工具的步骤
- 下载解密器。
- 运行解密器。如果不需要一个或多个命令行修改,可以通过点击下载的文件直接运行。
- 在初始页面上,您必须确认您是在加密文件的同一台 PC 上运行解密器。准备好开始时,点击“是”,然后点击“下一步”。
- 下一页显示了该 PC 上的驱动器字母列表。请注意,它是以反向顺序显示的。请保持原状并点击“下一步”。
- 下一个屏幕要求您输入一个加密文件的示例。在大多数情况下,解密器会选择可用的最佳文件来进行密码破解。
- 下一页是进行密码破解的过程。准备好开始时,点击开始。这一过程通常只需几秒钟,但会消耗大量系统内存。
- 一旦找到密码,您可以通过点击“下一步”继续解密 PC 上所有加密的文件:
- 在最后一页,您可以选择备份您的加密文件。如果在解密过程中出现问题,这些备份可能会有所帮助。这一选项预设为选中,我们建议保持默认设置。点击“解密”后,解密过程将开始。让解密器运行,并等待它完成解密所有文件。
如对 Avast解密器有任何疑问或建议,请发送电子邮件至:。
标签: ,
,
分享: X Facebook
