Trend Micro 推出 WannaCry 解密工具

srueiyuan

近日 Trend Micro 推出了一款 WannaCry 的解密工具。

這個解密工具可以解密多個加密病毒，包括 CryptXXX V1, V2, V3*、TeslaCrypt V1**、TeslaCrypt V2**、TeslaCrypt V3、TeslaCrypt V4、SNSLocker、AutoLocky、BadBlock、777、XORIST、XORBAT、CERBER v1, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop,Jigsaw, Globe/Purge, DXXD,Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry(WCRY)，而他們的副檔名分別是.crypt, .ECC, .VVV, CCC, ZZZ, AAA, ABC, XYZ, .XXX, TTT, MICRO, .RSNSLocked, .locky, .xorist, .crypted,.cerber,.locked, .crypted, .crypt, .LeChiffre, .xtbl, .dharma, .demoadc, WNCRY, WCRY

使用方法十分簡單：

下載並安裝解密工具之後，首先在「Select the ransomware name」中選擇你中了的加密病毒名稱，可以在上表中根據你被加密的副檔名找到適用於加密病毒名稱。

然後在「Select the encrypled file or folder to start decrypting it」中選擇需要解密的資料夾或範圍。然後等待完成便可。








官方下載連結｜官方網頁

shyan168

幫樓主補上更多說明:
使用趨勢科技Ransomware文件解密器

獲取和執行工具
1.單擊下面的“ 下載  ”按鈕可獲取趨勢科技Ransomware文件解密器工具的最新版本。解壓縮（解壓縮），然後啟動包含的RansomwareFileDecryptor exe文件。
下載RansomwareFileDecryptor
http://solutionfile.trendmicro.c ... 01.0.1663%20MUI.zip
2.啟動後，用戶將被要求接受最終用戶許可協議（EULA）進行。
3.接受EULA後，該工具將進入主用戶界面（UI）。從這裡，用戶將看到一個分步指南來執行文件解密。


詳細步驟 
步驟1：選擇ransomware名稱
大多數ransomware通常包括文本文件或html文件，以通知用戶他/她的系統已被某種類型的ransomware感染。使用此信息，受影響的用戶可以選擇可疑的ransomware名稱來解密文件。識別ransomware類型問題的用戶應聯繫趨勢科技技術支持以獲得進一步幫助。

選擇Ransomware名稱

注意：當選擇“ 我不知道ransomware名稱 ”選項時，該工具將提示用戶選擇要解密的目標文件，並將根據文件簽名嘗試並自動識別ransomware。

步驟2：選擇加密的文件或文件夾

該工具可以嘗試使用遞歸模式解密單個文件或文件夾及其子文件夾中的所有文件。單擊“選擇和解密”，選擇文件夾或文件，然後單擊“確定”開始解密過程。

選擇文件

步驟3：開始解密文件

選擇文件或文件夾後，該工具將自動開始掃描和解密文件。

開始解密文件

如果掃描目標是文件夾，該工具將首先從目標文件夾中收集一些文件信息，以幫助識別哪些文件需要解密。在掃描期間，滾動條將指示解密進度，並且UI將被更新，以指示加密了多少個文件並且已經解密文件的數量。

該工具可以非常快地解密某些類型的ransomware加密文件（例如TeslaCrypt）文件。但是，其他文件類型（例如CryptXXX）可能會花費更長的時間。整體持續時間還取決於目標文件夾中有多少文件。

如果在掃描期間單擊“停止”，則該過程將中斷。

掃描中斷

步驟4：解密CyptXXX V1，XORIST，XORBAT，NEMUCOD或TeleCrypt（可選）

如果工具識別由上述贖金軟件加密的文件，則由於特定解密所需的一些獨特的處理，它將要求用戶提供額外的信息來進行。

點擊這裡

選擇上面突出顯示的“點擊此處”選項後，將出現另一個對話框，要求輸入文件對。如果有可用的備份副本，用戶將需要選擇受感染的文件和匹配的非感染文件（文件大小越大越好）。

文件對

步驟5：完成解密文件

一旦掃描和解密過程完成，UI將顯示結果。

掃描完成

通過單擊查看加密文件，該工具將打開被選擇進行掃描的加密文件位置或文件夾。解密的文件駐留在打開的文件夾中。

解密的文件名將與以前加密的文件相同，但除了ransomware附帶的擴展名除外。

對於加密而不改變文件名的文件，解密的文件名稱將被解密{原始文件名} {extension}。

單擊完成，該工具將返回到主UI。重複步驟1和2解密更多的文件。

關於解密CryptXXX V3的重要提示 
由於這種特定的Crypto-Ransomware的高級加密，目前只有受CryptXXX V3影響的文件才能進行部分數據解密。

該工具將在解密嘗試後嘗試修復某些文件格式，包括DOC，DOCX，XLS，XLSX，PPT和PPTX（普通Microsoft Office）文件。固定文件將具有相同的原始文件名稱，“_fixed”附加到文件名，並將被放置在相同的位置。當使用Microsoft Office打開固定文件時，它可能會顯示一條消息以再次嘗試和修復該文件，並且此過程可能能夠恢復文檔。請注意，由於Microsoft Office的不同版本和特定的文件行為，不能保證此方法將完全恢復文檔。

然而，對於部分數據解密後的其他文件，用戶可能必須使用第三方損壞的文件恢復工具（如開源程序JPEGSnoop *）來嘗試並恢復完整文件。
一個例子是一部分恢復的照片或圖像文件，以顯示圖像的部分，而不是整個圖像。用戶然後將確定文件是否足夠關鍵以利用第三方工具或從第三方專業文件恢復服務尋求幫助。
原始照片（CryptXXX V3感染前）

趨勢科技Ransomware文件解密器
部分數據解密後的照片

趨勢科技Ransomware文件解密器
不幸的是，趨勢科技技術支持將非常有限，可以提供有關第三方文件恢復的任何類型的幫助。
趨勢科技並不會以任何方式具體認可並附屬於JPEGSnoop項目，只是將其作為用戶可能需要的恢復工具類型的示例。

解密BadBlock 
BadBlock可以剔除必要的系統文件，這可能會導致諸如不允許操作系統（OS）在重新啟動後正確加載（如果被感染）的問題。由於這些文件的敏感性，當工具嘗試解密這些文件時，它將備份所選密鑰最初加密的PE文件，並將“_bbbak”附加到名稱。解密後，原始的PE文件名將被恢復。對於非PE文件，解密的名稱將是附加到文件名稱的“_decrypted”的原始文件名。
因為BadBlock可能會影響系統的不同方法，工具可能會使用一些不同的方法來嘗試和解密受影響的文件：
1.如果系統已被感染並且尚未重啟。在這種情況下，用戶可以嘗試運行該工具，並嘗試解密受影響的文件。
2.如果系統已經在感染後重新啟動，並且無法成功啟動到操作系統。在這種情況下，建議用戶從操作系統安裝映像（如Windows恢復磁盤）或其他方法啟動，以嘗試進入操作系統可以啟動成功的狀態，然後嘗試運行該工具來解密其他文件。
3.如果系統操作系統無法由操作系統安裝映像恢復，如上所述。在這種情況下，用戶可能需要物理刪除受影響的硬盤驅動器（HDD），並將其作為額外的驅動器安裝在另一個已知的工作系統上，並嘗試從其他系統運行該工具。

CERBER解密限制 
必須在受感染的機器本身（而不是另一台機器）上執行CERBER解密，因為該工具需要嘗試查找第一個受感染文件進行關鍵的解密計算。
由於CERBER的解密方法，該工具可能需要幾個小時（平均為4）才能在標準的Intel i5雙核機器上完成解密。此外，CERBER的加密邏輯也是以這樣一種方式構建的：CPU擁有的核心越多，由於其複雜性，解密成功的機率就越低。
與其他類型的ransomware加密類似，某些文件可能只能部分解密，並可能需要後續的文件修復。

全球/清除解密限制
因為這個工具使用強力來計算Globe / Purge的密鑰，解密可能需要二十（20）小時。平均解密時間與四核CPU機器的大約十（10）小時變化到單核PC機的三十（30）小時。
要解密Globe / Purge V1，解密過程必須在最初被感染的機器上運行。
請注意，由於ransomware本身的錯誤，該工具無法解密FAT32系統上的文件。這也是ransomware作者原始解密工具的限制。

WannaCry（WCRY）解密限制 
該工具搜索ransomware進程內存中的私鑰，這意味著只有當原始的WannaCry ransomware進程仍然存在並且正在運行時，它才有效。如果受感染的計算機重新啟動，則在最初感染之後，ransomware進程以某種方式停止，或者任何其他情況會影響感染機器的進程內存，解密將失敗。在嘗試該工具之前，用戶不要嘗試重新啟動他們的系統是非常重要的。
目前尚不清楚在重新使用或重寫之前，素數（與私鑰相關）將存儲在內存地址空間中多長時間。因此，在感染鏈中早期運行此工具是非常有利的。
基於內部趨勢科技測試，該工具在Windows XP（x86）機器上的成功率最高，而在其他版本的Windows上則為非常低的速度，但個人用戶的成功率將有所不同。

獲取工具日誌 
趨勢科技Ransomware文件解密器工具將在執行期間將自身解壓縮到以下臨時文件夾：
％用戶％\應用程序數據\本地的\ Temp \ TMRDTSelfExtract \
完成掃描後，將在此位置顯示名為“日誌”的文件夾，其中包含詳細說明具有不同時間戳的解密過程的日誌。
臨時目錄示例：


發送用戶反饋 
從版本1.0.1657開始，用戶可以通過工具通過從主菜單中選擇“反饋”按鈕直接向趨勢科技發送反饋。  
用戶可以選擇一個預先填充的答案，或選擇“其他”，並根據需要添加評論。


視頻操作方法 
趨勢科技為客戶創建了一個基於計算機的培訓（CBT）模塊，並提供有關如何運行該工具的說明。請點擊此處查看模塊。

註釋和限制 
•TeslaCrypt V1，V2解密工具現在在一個單獨的包中
•CryptXXX V2，V3解密不支持純文本文件
•CryptXXX V3解密不支持存檔文件或解密大於13MB的文件大小
•重要提示：由CryptXXX V3加密的文件無法完全恢復到100％（部分恢復），請參見上述CryptXXX V3部分恢復
•CryptXXX V4，V5解密過程可能無法恢復原始文件名每個文件的解密可能需要長達2小時
•LeChiffre解密應該在原始的受感染機器上完成，因為它需要機器名稱和用戶名
•必須在受感染的機器上運行Teamxrat / Xpan解密工具
•WannaCry（WCRY）解密只對受感染的機器有影響，ransomware進程仍然活躍。目前，只有Windows XP（x86）的解密成功率很高。

文件驗證和校驗和 
RansomwareFileDecryptor
•RansomwareFileDecryptor 1.0.1663 MUI.exe於2017年5月21日17時45分上傳
•MD5：73c6b3c293f9329bfa740e5a21baa543
•SHA-256：c8aeb0602c36e6076ce8d70562e264f657f2d292794825d394aabca851e58fe4