前言

Amnesia 勒索软件于 2017 年 4 月 26 日开始出现。Amnesia 主要通过 RDP（远程桌面服务）暴力攻击进行传播，允许恶意软件作者登录受害者的服务器并执行勒索行为。

特征

Amnesia 是一种用 Delphi 编程语言编写的勒索软件，它使用 AES-128 加密算法加密您的文件。加密文件被重命名为 *.amnesia，赎金票据称为“如何恢复加密FILES.TXT”，并要求您联系“s1an1er111@protonmail.com”。它可以在您的桌面上找到。

勒索信：

=========================================================================================================
YOUR FILES ARE ENCRYPTED!Your personal ID:
<-- redacted -->Attention! What happened?
Your documents, databases and other important data has been encrypted.
If you want to restore files send an email to: s1an1er111@protonmail.com
In a letter to indicate your personal identifier (see in the beginning of this document).Attention!* Do not attempt to remove the program or run the anti-virus tools. * Attempts to self-decrypting files will result in the loss of your data. * Decoders are not compatible with other users of your data, because each user's unique encryption key.=========================================================================================================

工具使用说明

重要提示：在使用 Emsisoft 解密器之前，请务必确保从系统中删除恶意软件。否则，它可能会反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以帮助您完成这一步骤。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们建议您更改所有用户的密码，并检查本地用户帐户中是否有攻击者可能添加的其他帐户。

文件解密步骤：

1.从提供此“操作方法”文档的同一站点下载解密器。

2.下载后，双击解密器文件以运行。

3.在显示许可条款后，请点击“是”按钮以同意。

4.同意许可条款后，将打开主解密器用户界面。

5.默认情况下，解密器将预先填充要解密的位置，包括当前连接的驱动器和网络驱动器。您可以使用“添加”按钮添加其他位置。同时，对象列表接受通过拖放添加的文件和位置。

6.解密器通常会根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中，可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。

7.将要解密的所有位置添加到列表后，点击“解密”以启动解密过程。屏幕将切换到状态视图，通知您文件的当前进程和解密状态。

8.解密过程完成后，解密器将通知您。

如果需要保存报告作为您的个人记录，您可以通过点击“保存日志”按钮来保存。如果需要，您也可以将其直接复制到剪贴板，以粘贴到电子邮件或论坛帖子中。

可用的解密器选项：

• 保留加密文件：由于勒索软件不会保存有关未加密文件的信息，解密器无法保证解密的数据与之前加密的数据相同。因此，默认情况下，解密器将保留加密文件。

如果您希望在解密后删除加密文件，则可以禁用此选项。如果磁盘空间有限，则可能需要考虑这一点。