搜索
查看: 20496|回复: 47

[经验分享] 解密Stop勒索病毒加密数据文件(后缀Domn)的全过程

  [复制链接]
发表于 2021-7-12 22:54:29 | 显示全部楼层 |阅读模式
本帖最后由 jyssysz 于 2021-7-13 10:48 编辑

缘起
19年一个月黑风高的黑夜,我冒着被英文网站淹没的危险,查找一个久闻大名的软件。期间,弹出了几个对话框,没有细看就关闭了。第二天,打开电脑准备开始一天的工作。我的天呀,所有文件都加上了后缀domn,第一时间的反映,中病毒了。
批注 2021-07-12 112107.png
发现每个文件夹下都有一个_readme.txt文件,使用记事本打开。
批注 2021-07-12 111941.png
妈呀,980$,72小时付款优惠50%,490$。我不是美粉,连$是什么都不知道,咋搞来这么多刀?
马上关闭电脑,用手机上网查了资料,domn——勒索病毒。
去了各杀毒软件网站、百度贴吧发布了求救贴,都没有可以解密的答复。
屏幕截图 2021-07-12 220119.png

屏幕截图 2021-07-12 220250.png
没有办法,贴上标签,先封存起来吧。
0I2Q6FTWUAD%R@533{N$WMV.jpg

找到nomoreransom
又到了假期,可以有时间处理待处理的事情了。想着等了几年,是不是已经有了解密勒索病毒的方法。
百度,必应,国内,国外搜了一圈,找到了一个欧洲刑警组织、荷兰警方、英特尔安全公司以及卡巴斯基实验室联合倡议的网站https://www.nomoreransom.org/。直接打开中文网站。
The No More Ransom Project.png
一大堆的安全组织,有听说过的,有没有听说过的。
The No More Ransom Project3.png
可以解密这么多种类的勒索病毒,看资料,我的电脑中招的是最后一个。
The No More Ransom Project1.png
有详细的使用说明书。
屏幕截图 2021-07-12 223052.png
下载解密软件,准备解密。
屏幕截图 2021-07-12 194302.png

尝试解密
找来朋友的笔记本电脑,拆除本机硬盘,接上保存待解密文件的硬盘。
S[]D15__{RYV55)M7J%H_LB.jpg

开机,运行下载的解密软件,同意协议。
批注 2021-07-12 111036.png
免责声明,还是有些文件无法解密,看运气了。解密过程要连接服务器读取密钥,要注意联网。
批注 2021-07-12 111134.png
确定后,解密软件揭开神秘的面纱。
批注 2021-07-12 111209.png
为了快速解密,清除了项目列表,只选择文件少的文件试一下。
批注 2021-07-12 111335.png
把选择的文件夹添加到列表中。
批注 2021-07-12 111359.png
单击“decrypt”按钮,开始焦急的等待。
批注 2021-07-12 111505.png
一连串的文本滚动后,给我反馈了一堆的Error,提示Hotice: this ID appears to be an online ID,decryption is impossible。在线ID,无法解密。
再看看文件列表,domn的扩展名,永远定格的2019/9/18
批注 2021-07-12 112107_看图王.png

感受
再温习一遍网站上的提示吧。
屏幕截图 2021-07-12 225127.png
良好的计算机操作、使用习惯真的非常重要,备份,备份,备份……
继续硬盘的封存之旅吧,期待,期待,期待,……。
回复

使用道具 举报

发表于 2021-7-12 23:07:33 | 显示全部楼层
兄弟你运气实在不行啊
回复

使用道具 举报

发表于 2021-7-12 23:28:30 | 显示全部楼层
道重任远,不容易啊。
回复

使用道具 举报

 楼主| 发表于 2021-7-13 05:54:37 | 显示全部楼层
有中勒索者的网友可以试试我找的网站有没有工具。

评分

1

查看全部评分

回复

使用道具 举报

 楼主| 发表于 2021-7-13 05:55:14 | 显示全部楼层
期待有解密工具的网友共享。
回复

使用道具 举报

发表于 2021-7-13 08:57:16 来自手机 | 显示全部楼层
防患于未然吧,暂时还没碰到过类似现象。
回复

使用道具 举报

发表于 2021-7-13 10:44:15 | 显示全部楼层
把风险性高的操作放在虚拟机里面运行,重要文件单独冷备份,防患于未然。
回复

使用道具 举报

发表于 2021-7-13 12:18:06 | 显示全部楼层
已知有风险,提前做好准备
回复

使用道具 举报

联系我们(Contact)|手机版|萝卜头IT论坛 ( 苏ICP备15050961号-1 )

GMT+8, 2024-12-22 09:06 , Processed in 0.099255 second(s), 26 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表