【工具分享】Darkside勒索病毒解密工具
前言
DarkSide勒索软件首次出现于2020年8月,由一个组织良好、具有专业背景的黑客团体开发。DarkSide迅速成为全球威胁,其主要针对大企业,尤其是那些在能源、金融和制造等关键行业中运作的企业。DarkSide采用了“勒索即服务”(RaaS)的商业模式,即通过租借其勒索软件平台给其他网络犯罪分子,从中获取分成。DarkSide的运营手法极为专业,包括提供24/7的技术支持,并且在其攻击中展现了高度的道德伪善,比如声称不会攻击医院、学校和政府机构。然而,2021年5月的Colonial Pipeline攻击事件使DarkSide一夜之间声名鹊起,同时也引发了国际社会的广泛关注和联合打击。
特征
感染DarkSide勒索软件后,受害者的文件会被加密,并附加“.darkside”扩展名。DarkSide的勒索信通常包含详细的支付指示,并警告受害者如果不支付赎金,攻击者将公开他们的数据。勒索信还提供了一个专用的Tor网站链接,受害者可以在该网站上与攻击者进行沟通,并支付赎金。DarkSide还会在攻击后对受害者的系统进行全面扫描,以确定能够提取的敏感数据,并威胁将其公开,从而施加更大的压力。DarkSide使用的加密技术非常强大,通常采用AES-256和RSA-1024算法,确保受害者无法轻易恢复文件 。
工具使用说明
-
下载解密工具并将其保存在计算机中的某个位置
此工具适用于具有活动互联网连接的受感染计算机。
-
双击 BDDarkSideDecryptor.exe 并通过在 UAC 警报上单击“是”来允许其运行。
-
选择“我同意”以接受最终用户许可协议。
注意:工具提示,对于当前的PC加密文件的扩展名应该是*.e392d905,请检查您是否有带有此扩展名的加密文件,否则将不会有文件被解密。
-
如果您想要搜索所有加密文件,选择“扫描整个系统”;或者只添加之前保存加密文件的路径。
我们强烈建议您在开始解密过程之前也选择“备份文件”,以防解密过程中发生任何不希望出现的情况。然后按下“启动工具”。
在此步骤结束时,您的文件应该已被解密。
如果您勾选了备份选项,您将看到加密文件和解密文件。您还可以在%temp%\BDRemovalTool文件夹中找到一个描述解密过程的日志。
要删除您剩余的加密文件,只需搜索匹配该扩展名的文件并进行批量删除。我们不建议您这样做,除非您再三确认您的文件可以安全打开,并且没有任何损坏的痕迹。
在某些情况下,勒索软件可能会错误地加密文件,导致解密无法正常工作,我们建议您在使用解密工具之前备份您的文件,如果您还没有从解密工具中勾选“备份文件”选项的话。
工具下载地址
solar专业应急响应团队公众号
回复关键字【Darkside】获取下载链接