跳至主內容

齊抗勒索軟件

 

勒索軟件種類

 

勒索軟件勒索信息加密文件副檔名主要傳播途徑可解密版本*
AkiraAkira 的勒索信息是在「akira_readme.txt」,要求受害者按照黑客提供的聯繫方式交付贖金。副檔名為「.Akira」
  • 受感染的電子郵件附件 (macros)
  • torrent網站

  • 惡意廣告

  • 盜版軟件

Akira

[解密工具連結]

AstraLockerAstraLocker 的勒索信息是在「How To Restore Your Files.txt」,要求受害者按照黑客提供的聯繫方式交付贖金。

副檔名為「.Astra」及「.babyk」

  • 惡意電郵附件
  • 惡意網頁廣告

AstraLocker

[解密工具連結]

BianLianBianLian 的勒索信息是在「Look at this instruction.txt」,要求受害者按照黑客提供的聯繫方式交付贖金。

副檔名為「.bianlian」

  • 含有惡意軟件的合法程式
  • 利用ProxyShell 漏洞
  • 利用  SonicWall VPN 裝置漏洞
  • 暴力破解Windows遠端桌面服務(RDP)入侵

BianLian

[解密工具連結]

BlackByteBlackByte的勒索信息是在「BlackByte_restoremyfiles.hta」,要求受害者按照黑客提供的聯繫方式交付贖金。副檔名為 「.blackbyte」。
  • 利用零日漏洞入侵

BlackByte

[解密工具連結]

Cactus

Cactus的勒索信息是在「cAcTuS.readme.txt」,要求受害者按照黑客提供的聯繫方式交付贖金。

副檔名為「.cts」後面跟著一個數字。例如「.cts1」。

利用  Fortinet VPN 裝置漏洞

 

利用  Qlik Sense 漏洞

暫時沒有破解工具
Cerber/Magniber要求受害者通過Tor瀏覽器購買「Cerber/My Decryptor」解密。

V1-V3為 「.cerber」,其餘為多位隨機字符。

 

Magniber 副檔名為 「.ypkwwmd」、 「.ndpyhss」、「.wmfxdqz」、 「axlgsbrms」、 「.nhsajfee」、 「.mqpdbn」、「.damdzv」、「.qmdjtc」、 「.mftzmxqo」、 「.demffue」、 「.dxjay」、 「.fbuvkngy」、 「.xhspythxn」、 「.dlenggrl」、「.skvtb」、 「.vbdrj」、「.fprgbk」、 「.ihsdj」、「.mlwzuufcg」 及 「.kgpvwnr」

  • 惡意電郵附件
  • 惡意網頁廣告
  • 含有惡意軟件的合法程式
  • 利用Apache Struts 2漏洞入侵
  • 利用Magnitude 漏洞
  • 利用工具包入侵

Cerber V1

[解密工具連結]

 

Magniber:

部分副檔名有解密工具。

[解密工具連結1]

[解密工具連結2]

[解密工具連結3]

CrySIS/Dharma/Phobos被加密的文件目錄會有 「FILES ENCRYPTED.txt」或「.HTA」及 「.TXT」等文件,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。常見為「.java」、「.arena」、「.bip」、「.phobos」。
  • 暴力破解Windows遠端桌面服務(RDP)入侵
  • 利用軟件漏洞入侵。

部分副檔名有解密工具。

[解密工具連結1]

[解密工具連結2]

DarkSide/BlackMatter

 DarkSide的勒索信息是在「README.[victim's_ID].TXT」,要求受害者通過Tor瀏覽器購買解密軟件解密。

 

BlackMatter的勒索信息是在「[random_string].README.txt」, 要求受害者通過Tor瀏覽器購買解密軟件解密。

DarkSide副檔名為victim's id。

 

BlackMatter為隨機副檔名。

  • 惡意電郵附件或連結

DarkSide

[解密工具連結1]

 

BlackMatter

暫時沒有破解工具

DjvuDjvu的勒索信息是在「_openme.txt」, 「 _open_.txt」 或 「_readme.txt」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。常見為「.djvu」、  「djvu*」,  「.djvuu」、 「.udjvu」、  「.djvuq」、 「.uudjvu」、  「.djvus」、 「.djuvt」、  「.djvur」 及 「.DJVUT」。
  • 惡意電郵附件或連結
  • 使用非正常渠道的工具

部分副檔名有解密工具。

[解密工具連結1]

eCh0raixeCh0raix的勒索信息是在「README_FOR_DECRYPT.txtt」 或  「README_FOR_DECRYPT.txt」,要求受害者通過Tor瀏覽器購買解密軟件解密。常見為「.encrypt」 及 「.encrypted」。
  • 利用QNAP NAS漏洞入侵
暫時沒有破解工具
ESXiArgsESXiArgs的勒索信息是在「ransom.html」 或  「How to Restore Your Files.html」,要求受害者按照黑客提供的聯繫方式交付贖金。常見為「.args」。
  • 利用VMware ESXi漏洞入侵

ESXiArgs-Recover

[解密工具連結]

GandCrab要求受害者通過Tor瀏覽器訪問指定網頁交付贖金。 V1為 「.GDCB」;
V2-V3為 「.CRAB」;
V4為 「.KRAB」;
V5為隨機副檔名。
  • 惡意電郵附件或連結
  • 含有惡意軟件的合法程式
  • 暴力破解Windows遠端桌面服務(RDP)入侵
  • 暴力破解Tomcat Manager後台入侵

GandCrab V1、V4和V5最新至V5.2

[解密工具連結]

GlobeImposter被加密的文件目錄會有「HOW_TO_BACK_FILES.txt」或者「how_to_back_files.html」的文件,顯示受害者的個人ID序列號以及黑客的聯繫方式,要求受害者將ID序列號發送到黑客郵箱,再根據步驟交付贖金。

1.0版本常見為 「.CHAK」;
2.0版本常見為 「.TRUE」、 「.doc」;
3.0版本常見為 「.十二生肖+4444」、 「.十二主神+666」;
4.0版本常見為「. auchentoshan」;

5.1版本常見為「. IQ0005」。

  • 惡意電郵附件,掃描滲透
  • 暴力破解Windows遠端桌面服務(RDP)入侵

GlobeImposter 1.0

[解密工具連結]

Hades受害者的每一個被加密的文件夾中會有「README_RECOVER_FILES_[victim_id].html」、「README_RECOVER_FILES_[victim_id].png」及「README_RECOVER_FILES_[victim_id].txt」的檔案,顯示受害者的個人ID序列號以及黑客的聯繫電郵及取得解密密碼連結,再根據步驟交付贖金。

The common extension is  ".MafiaWare666", ".jcrypt", ".brutusptCrypt", ".bmcrypt", ".cyberone", ".l33ch".

  • Hades 對網絡的主要初始訪問是通過使用遠程桌面協議 (RDP) 的面向互聯網的系統或通過使用合法憑據訪問虛擬專用網絡 (VPN)。
  • 通過受感染網站上顯示的虛假軟件更新,以傳遞惡意軟件
  • 利用ProxyLogon Exchange 的漏洞

Hades

[Decryption Tool Link]

HermeticRansom受害者的桌面目錄會有「read_me.html」的文件,顯示受害者的個人ID序列號以及黑客的聯繫方式,要求受害者將ID序列號發送到黑客郵箱,再根據步驟交付贖金。

常見為「.[[email protected]]

.encryptedJB」。

  • 惡意電郵附件,掃描滲透

HermeticRansom

[解密工具連結]

Hive受害者的桌面目錄會有「HOW_TO_DECRYPT.txt」的文件,顯示受害者的個人ID序列號以及黑客的聯繫方式,要求受害者將ID序列號發送到黑客郵箱,再根據步驟交付贖金

第一版本副檔名為「.hive

第二版本副檔名為「.w2tnk」及「.uj1ps

所有第三版本及第四版本的隨機副檔名

  • 利用軟件漏洞入侵

Hive

[解密工具連結]

LockBitLockBit的勒索信息是在「Restore-My-Files.txt」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。副檔名為「.abcd」。
  • 惡意電郵附件或連結

LockBit

[解密工具連結]

LockerGoga

LockerGoga的勒索信息是在「README-NOW.txt」或「README_LOCKED.txt」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。

副檔名為「.locked」。

  • 惡意電郵附件
  • 惡意網頁廣告

LockerGoga

[解密工具連結]

MazeMaze的勒索信息是在「HOW_TO_BACK_FILES.txt」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式及指示交付贖金。為隨機副檔名。
  • 惡意電郵附件或連結
暫時沒有破解工具
MegaCortex「!!READ_ME!!!.TXT」、「!-!README!-!.RTF」,要求數據由版本 2 到 4 加密的受害者需要出示贖金副檔名為「.aes128ctr」。
  • 針對企業網絡,與 QBot、Emotet 和 Cobalt Strike 一起被發現。

MegaCortex

[解密工具連結]

MortalKombat

它更改桌面牆紙為真人快打主題,並生成名為 HOW TO DECRYPT FILES.txt 的勒索信息文件。

副檔名為 「..Remember_you_got_only_24_hours_to_make_the_payment_if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware」。通過網絡釣魚電子郵件傳播並以使用遠程桌面協議 (RDP) 面向互聯網的系統為目標。

MortalKombat

[解密工具連結]

Muhstik要求受害者通過Tor瀏覽器訪問指定網頁交付贖金。副檔名為 「.muhstik」。
  • 利用web伺服器、NAS的漏洞入侵。

ID在以下密鑰列表中的設備可以解密。

[密鑰列表連結]

[解密工具連結]

NemtyNemty的勒索信息是在[加密副檔名]-DECRYPT.txt。要求受害者通過Tor瀏覽器訪問指定網頁交付贖金。Sodinokibi的為隨機副檔名,Nemty的副檔名為「.nemty」。
  • 使用Gandcrab傳播途徑
  • 利用零日漏洞入侵

Sodinokibi暫無解密工具。
Nemty特定版本加密的部分文件類型可被解密。

[解密工具連結]

NetwalkerNetwalker的勒索信息是在「{ID} – Readme.txt」 ,要求受害者通過Tor瀏覽器購買解密軟件解密。為隨機副檔名。
  • 惡意電郵附件或連結
暫時沒有破解工具
RhysidaNetwalker的勒索信息是在「CriticalBreachDetected.pdf」,要求受害者通過Tor瀏覽器訪問指定網頁交付贖金。

副檔名為 「.rhysida」。

  • 惡意電郵附件
  • 惡意網頁廣告
  • 含有惡意軟件的合法程式

Rhysida

[解密工具連結]

Ryuk/Conti

Ryuk的勒索信息是在「RyukReadMe.txt」 或  「RyukReadMe.html」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。

最新版本是要求受害者通過Tor瀏覽器購買解密軟件解密。

 

Conti的勒索信息是在「CONTI_README.txt」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。

Ryuk為「.RYK」

Conti為「.CONTI」、「.KREMLIN」、「.RUSSIA」、「.PUTIN」。

  • 惡意電郵附件,掃描滲透
  • 暴力破解Windows遠端桌面服務(RDP)入侵

暫時沒有破解工具

 

Conti 特定版本文件副檔名為「.KREMLIN」、「.RUSSIA」及「.PUTIN」可被解密。

[解密工具連結]

Sodinokibi/REvil桌面被改成藍屏,勒索信息在屏幕顥示及在被加密的文件目錄,要求受害者通過Tor瀏覽器購買解密軟件解密。為隨機副檔名
  • 使用Gandcrab傳播途徑
  • 利用零日漏洞入侵
  • 惡意電郵附件或連結
  • 含有惡意軟件的合法程式
  • 暴力破解Windows遠端桌面服務(RDP)入侵

Sodinokibi/REvil

[解密工具連結]

STOP被加密的文件目錄會有「_openme.txt」或者「_readme.txt」的文件,顯示受害者的個人ID序列號以及黑客的聯繫方式,要求受害者將ID序列號發送到黑客郵箱,再根據步驟交付贖金。常見為 「.puma」、「.pumas」、「.coharos」、「.STOP」。
  • 惡意電郵附件
  • 惡意網頁廣告
  • 含有惡意軟件的合法程式

部分副檔名有解密工具。

[解密工具連結]

TrigonaTrigona的勒索信息名為「how_to_decrypt.hta」顯示在系統中。該文件的HTML代碼包含嵌入的JavaScript功能。副檔名為「._locked」。利用軟件漏洞入侵暫時沒有破解工具
WannaCryWannCry的勒索信息是在「info.hta」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。副檔名為「.WannaCry」。
  • 惡意電郵附件或連結
  • 含有惡意軟件的合法程式

WannaCry

[解密工具連結]

YanluowangYanluowang的勒索信息是在「README.txt」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。副檔名為「.yanluowang」。
  • 利用軟件漏洞入侵

Yanluowang

[解密工具連結]

YashmaYashma的勒索信息是在「Restore_Files.html」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。副檔名為「.AstraLocker」或四個隨機的英文字串。
  • 惡意電郵附件
  • 惡意網頁廣告

Yashma

[解密工具連結]

 

*你可以在以下網頁識別勒索軟件和下載解密工具。香港電腦保安事故協調中心並不保證工具可以成功復原文件。*
https://www.nomoreransom.org/zht_Hant/index.html