前言
Amnesia 勒索软件于 2017 年 4 月 26 日开始出现。Amnesia 主要通过 RDP(远程桌面服务)暴力攻击进行传播,允许恶意软件作者登录受害者的服务器并执行勒索行为。
特征
Amnesia 是一种用 Delphi 编程语言编写的勒索软件,它使用 AES-128 加密算法加密您的文件。加密文件被重命名为 *.amnesia,赎金票据称为“如何恢复加密FILES.TXT”,并要求您联系“s1an1er111@protonmail.com”。它可以在您的桌面上找到。
勒索信:
=========================================================================================================
YOUR FILES ARE ENCRYPTED!Your personal ID:
<-- redacted -->Attention! What happened?
Your documents, databases and other important data has been encrypted.
If you want to restore files send an email to: s1an1er111@protonmail.com
In a letter to indicate your personal identifier (see in the beginning of this document).Attention!* Do not attempt to remove the program or run the anti-virus tools. * Attempts to self-decrypting files will result in the loss of your data. * Decoders are not compatible with other users of your data, because each user's unique encryption key.=========================================================================================================工具使用说明
重要提示:在使用 Emsisoft 解密器之前,请务必确保从系统中删除恶意软件。否则,它可能会反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以帮助您完成这一步骤。如果您的系统通过 Windows 远程桌面功能遭到入侵,我们建议您更改所有用户的密码,并检查本地用户帐户中是否有攻击者可能添加的其他帐户。
文件解密步骤:
1.从提供此“操作方法”文档的同一站点下载解密器。
2.下载后,双击解密器文件以运行。
3.在显示许可条款后,请点击“是”按钮以同意。
4.同意许可条款后,将打开主解密器用户界面。
5.默认情况下,解密器将预先填充要解密的位置,包括当前连接的驱动器和网络驱动器。您可以使用“添加”按钮添加其他位置。同时,对象列表接受通过拖放添加的文件和位置。
6.解密器通常会根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中,可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。
7.将要解密的所有位置添加到列表后,点击“解密”以启动解密过程。屏幕将切换到状态视图,通知您文件的当前进程和解密状态。
8.解密过程完成后,解密器将通知您。
如果需要保存报告作为您的个人记录,您可以通过点击“保存日志”按钮来保存。如果需要,您也可以将其直接复制到剪贴板,以粘贴到电子邮件或论坛帖子中。
可用的解密器选项:
-
保留加密文件:由于勒索软件不会保存有关未加密文件的信息,解密器无法保证解密的数据与之前加密的数据相同。因此,默认情况下,解密器将保留加密文件。
如果您希望在解密后删除加密文件,则可以禁用此选项。如果磁盘空间有限,则可能需要考虑这一点。
