企业中了勒索病毒该怎么办？可以解密吗？

华盟君引言“勒索病毒席卷全球，给全球各大小政企业都带来了巨大的损失，勒索病毒重点在于防，可是黑客无孔不入，再强大的系统都有可能存在漏洞，万一企业被攻击，已经中了勒索病毒，那该怎么办呢？”

我处理过很多勒索病毒应急响应事件，问的最多的一个问题就是：该怎么办？可以解密吗？

大多数企业在中了勒索病毒之后都会非常恐慌，不知怎么办，最直接的办法就是把中毒的机器进行隔离，断网处理，然后等待专业的安全服务人员上门进行处理，针对一般的勒索病毒应急处理方法，如下：

1.断网处理，防止勒索病毒内网传播感染，造成更大的损失
2.查找样本和勒索相关信息，确认是哪个勒索病毒家族的样本
3.确认完勒索病毒家族之后，看看是否有相应的解密工具，可以进行解密
4.进行溯源分析，确认是通过哪种方式传播感染的进来的，封堵相关的安全漏洞
5.做好相应的安全防护工作，以防再次感染

对于新型的勒索病毒样本，安全服务人员还会将样本提交到专业的安全分析师手中，对样本进行详细分析，看能否解密，同时需要对新型的勒索病毒样本进行特征入库操作等等
 
如果企业中了勒索病毒，哪些勒索病毒是可以解密的呢？怎么解密，有哪些相关的解密网站？这里给大家介绍几个关于勒索病毒信息查询以及解密的网站，可以在这些网站查询勒索病毒相关信息，以及下载相应的解密工具进行解密
 
勒索病毒信息查询网站
https://www.botfrei.de/de/ransomware/galerie.html

(可惜的是这个网站从2018年后就不在更新了)

勒索病毒信息查询网站
https://id-ransomware.malwarehunterteam.com/

卡巴斯基勒索病毒解密工具集
https://noransom.kaspersky.com/

解密工具，可解密如下勒索病毒家族：
Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman
(TeslaCrypt) version 3 and 4, Chimera, Crysis (versions 2 and 3), Jaff, Dharma and new versions of Cryakl ransomware,Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (versions 1, 2 and 3), Polyglot aka Marsjoke,Shade version 1 and 2,
CoinVault and Bitcryptor,Wildfire,Xorist and Vandev

Avast勒索软件解密工具集
https://www.avast.com/zh-cn/ransomware-decryption-tools

解密工具，可解密如下勒索病毒家族：
Alcatraz Locker,Apocalypse,BadBlock,Bart,Crypt888,CryptoMix,CrySiS,Globe
HiddenTear,Jigsaw,Legion,NoobCrypt,Stampado,SZFLocker,TeslaCrypt

Trendmicro勒索软件解密工具集
http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/Tools/RansomwareFileDecryptor/

解密工具，可解密如下勒索病毒家族：
CryptXXX V1,V2,V3*,V4,V5
TeslaCryptV1**,TeslaCryptV2**,TeslaCryptV3,TeslaCryptV4
SNSLocker,AutoLocky,BadBlock,777,XORIST,XORBAT,CERBER V1
Stampado,Nemucod,Chimera,LECHIFFRE,MirCop,Jigsaw,Globe/Purge

nomoreransom勒索软件解密工具集
https://www.nomoreransom.org/zh/decryption-tools.html

解密工具，可解密如下勒索病毒家族：
777,AES_NI,Agen.iih,Alcatraz,Alpha,Amnesia,Amnesia2,Annabelle,Aura,Aurora,
Autolt,AutoLocky,BTCWare,BadBlock,BarRax,Bart,BigBobRoss,Bitcryptor,CERBER V1,Chimera,Coinvault,Cry128,Cry9,CrySiS,Cryakl,Crybola,Crypt888,CryptON,CryptXXX V1,V2,V3,V4,V5,CryptMix,Cryptokluchen,DXXD,Damage,Democry,Derialock,Dharma,
EncrypTile,Everbe1.0,FenixLocker,FilesLocker V1 and V2,Fury,GandCrabV1,V4,V5,
V5.2,GetCrypt,Globe,Globe/Purge,Globe2,Globe3,Globelmposter,Gomasom,HKCrypt,HiddenTear,InsaneCrypt,JSWorm2.0,Jaff,Jigsaw,LECHIFFRE,LambdaLocker,Lamer,Linux.Encoder.1,Linux.Encoder.3,Lortok,MacRansom,Marlboro,Marsjoke aka Polyglot,
MegaLocker,Merry X-Mas,MirCop,Mole,Nemucod,NemucodAES,Nmoreira,Noobcrypt,
Ozozalocker,PHP,Pewcrypt,Philadelphia,Planetary,Pletor,Popcorn,PyLocky,Rakhni,Rannoh,Rotor,SNSLocker,Shade,Simplocker,Stampado,Teamxrat/Xpan,TeslaCryptV1,V2,V3,V4,Thanatos,Trustezeb,Wildfire,XData,XORBAT,XORIST,ZQ

nomoreransom勒索病毒解密工具集中，还包含一款Linux平台勒索病毒的解密工具可解密Linux.Encoder.1,Linux.Encoder.3家族，以及一款Mac平台勒索病毒解密工具，可解密MacRansom家族

Emsisoft勒索软件解密工具集
https://www.emsisoft.com/decrypter/

解密工具，可解密如下勒索病毒家族：
GetCrypt,JSWorm2.0,MegaLocker,ZQ,CryptoPokemon,Planetary,Aurora
HKCrypt,PewCrypt,BigBobRoss,NemucodAES,Amnesia2,Amnesia,Cry128
Cry9,Damage,CryptON,MRCR,Marlboro,Globe3,OpenToYou,Globelmposter
NMoreira,OzozaLocker,Globe2,Globe,AI-Namrood,FenixLocker,
Fabiansomware,Philadelphia,Stampado,ApocalypseVM,Apocalypse,BadBlock,Xorist,777,AutoLocky,Nemucod,DMALocker2,HydraCrypt,DMALocker,CrypBoss,Gomasom,LeChiffre,KeyBTC,Radamant,CryptInfinite,PClock,CryptoDefense,Harasom
 
Emsisoft的解密工具都比较新，一些新的勒索病毒解密工具都有
 
昨天BitDefender发布了GandCrab最新的解密工具，可以解密GandCrab5.2及以下版本，如下所示：

并公布了GandCrab勒索病毒的发展时间线，如下所示：

上面介绍了很多勒索病毒解密工具，但是如何确定企业是中了哪个勒索病毒家族？然后找到相应的解密工具呢？

在已经感染中毒的机器上找到相应的勒索病毒样本、勒索病毒勒索信息文本，勒索病毒加密后的文件，将这些信息，上传到https://id-ransomware.malwarehunterteam.com/,可以得出是中的哪个勒索病毒家族，然后再上面的几个网站去找相对应的解密工具，同时提醒，因为勒索病毒在不但变种，可能一些家族的旧版解密工具，无法解密新版的变种样本

如果你还是不能确认是哪个勒索病毒家族的，可以关注微信公众号，然后后台给我留言，提供相应的勒索病毒样本，勒索病毒勒索信息，加密文件或加密后缀等信息，我会免费帮你确认是哪个勒索病毒家族或是否为新型的勒索病毒家族，此勒索病毒能否解密，有没有相关的解密工具等，关于勒索病毒的问题，也可以后台留言，欢迎大家在后台提交勒索病毒相关信息给我

文章转载自：pandazhengzheng  CyberThreatAnalyst