前言
PyLocky勒索软件首次出现在2018年,以模仿著名的Locky勒索软件而得名。与Locky无实际关联,PyLocky是用Python编写的,并通过PyInstaller打包成可执行文件,使其更难被检测。PyLocky通常通过网络钓鱼邮件传播,邮件伪装成合法主题,如发票或付款确认,诱导受害者点击恶意链接下载病毒。它特别针对欧洲地区的用户,尤其是法国的企业。在安全社区的努力下,多个版本的PyLocky解密工具相继发布,帮助受害者恢复文件。
特征
感染PyLocky后,文件会被加密,并附加“.lockedfile”、“.lockymap”或“.locky”等扩展名。加密完成后,PyLocky会在受感染的系统中生成一个赎金说明文件,要求受害者支付赎金以获取解密密钥。赎金信伪装成Locky的风格,进一步增加了勒索的可信度。PyLocky具有一定的反检测功能,可以绕过部分基于机器学习的检测系统。此外,法国政府和Cisco Talos等安全组织发布了用于解密PyLocky的免费工具,帮助用户在不支付赎金的情况下恢复数据。
工具使用说明
要求:Windows 7 或更高版本操作系统
-
安装 Java 运行时环境或 JRE 版本 8,可在 Oracle 网站上免费获取 (https://www.java.com/download/)
-
将驱动器连接到要用于分析的计算机,并且其硬盘驱动器的文件已加密。
-
下载程序 Pylocky_Decryptor.jar
-
双击运行程序,应显示以下窗口:
-
选择 Pylocky 的版本 (V1 :: .Lockymap .Lockedfile / V2:.Locky)
-
通过单击所选内容按钮,赎金票据LOCKY-README.txt已复制到您的外部驱动器上。
-
选择与您的驱动器匹配的驱动器字母:通过单击箭头来外部驱动器:
-
然后点击“Démarrer”。
-
该程序将自动搜索复制到磁盘上的加密文件并继续解密。
如果未检测到加密文件,请确保:
您选择了磁盘驱动器的正确字母;
您已选择正确的恶意软件版本,然后重新开始。
如果您没有机会在带有Pylocky_Decryptor的干净系统上连接受感染的驱动器,您也可以直接将其安装在受感染的计算机上
我们建议您,一旦所有文件都被解密,请将它们传输到新系统上,并且不要使用受感染计算机的系统,因为它可能仍然包含恶意文件。
工具下载地址
solar专业应急响应团队公众号
回复关键字【Pylocky】获取下载链接