前言
BigBobRoss勒索软件首次被发现于2019年初。它由C++编写,并使用了QT框架。该勒索软件的加密方法相对基础,使用AES-128 ECB算法对受害者的文件进行加密。尽管加密技术并不复杂,但它的传播和影响力迅速扩展,导致大量用户的数据被加密并要求支付赎金。BigBobRoss在最初几个月内就通过各种方式传播,包括钓鱼邮件和恶意广告。随着时间的推移,安全专家注意到其持续演变,并开发了多种解密工具来帮助受害者恢复文件。
特征
感染BigBobRoss勒索软件后,受害者的文件会被加密并附加“.obfuscated”或“.encryptedALL”等扩展名。一些变种还会在文件名前添加受害者的唯一ID。加密完成后,勒索软件会在受感染的文件夹中生成一个名为“Read Me.txt”的赎金说明文件。该说明文件要求受害者联系攻击者以获取解密密钥,并警告不要更改文件名或扩展名,否则可能会导致文件无法恢复。BigBobRoss的勒索信语言相对简单直接,旨在通过威胁和恐吓手段迫使受害者支付赎金。尽管没有改变桌面背景的功能,但其通过文件名和扩展名的改变,极大地影响了受害者的正常操作和数据访问。
工具使用说明
-
从提供此“操作方法”文档的同一站点下载解密器。
-
以管理员身份运行解密器。将显示许可条款,您必须通过单击“是”按钮来同意这些条款:
-
接受条款后,点击“浏览”按钮选择赎金票据。然后单击“开始”按钮。
-
解密器将在恢复过程完成后显示重建的加密细节。该显示是纯信息性的,仅为了确认所需的加密细节已被找到:
找到密钥后,单击“确定”以打开主解密器用户界面:
-
默认情况下,解密器将使用当前连接的驱动器和网络驱动器预先填充要解密的位置。可以使用“添加”按钮添加其他位置。
- 解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中,可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。
- 将所有要解密的位置添加到列表中后,单击“解密”按钮开始解密过程。屏幕将切换到状态视图,通知您有关文件的当前进程和解密状态:
-
解密器将在解密过程完成后通知您。如果您需要报告以供个人记录,可以通过点击“保存日志”按钮来保存它。如果有人要求您提供,您也可以直接将其复制到剪贴板,然后粘贴到电子邮件或论坛帖子中。
可用的解密器选项
-
保留加密文件:由于勒索软件不会保存有关未加密文件的信息,解密器无法保证解密的数据与之前加密的数据相同。因此,默认情况下,解密器将保留加密文件。如果您希望在解密后删除加密文件,则可以禁用此选项。如果磁盘空间有限,则可能需要考虑这一点。
工具下载地址
solar专业应急响应团队公众号
回复关键字【BigBobRoss】获取下载链接