【工具分享】Trustezeb勒索病毒解密工具

前言

Trustezeb 勒索病毒是一种在2019年左右首次出现在网络上的加密恶意软件，主要通过电子邮件附件、恶意链接和其他社交工程手段进行传播。它针对各种操作系统，尤其是Windows平台进行攻击，利用加密算法将用户的文件锁定，迫使受害者支付赎金以恢复文件访问。Trustezeb 的攻击方式比较典型，但它在加密过程、勒索信内容以及传播方式上有所创新，使其在勒索病毒家族中占有一席之地。该病毒特别针对大型企业和政府机构，具有较强的隐蔽性和攻击性。

特征

Trustezeb 勒索病毒在感染系统后，迅速扫描并加密各种文件，尤其是图像、文档、音频和视频文件。加密后的文件会附加“.encrypted”或类似的后缀，导致文件无法打开和访问。病毒还会在每个受影响的文件夹中生成勒索信，通常为“README.txt”或“HELP.txt”，并在其中要求受害者支付赎金。勒索信提供了比特币钱包地址，并威胁称，如果受害者未在规定时间内支付赎金，文件将被永久删除或无法恢复。

该病毒主要通过钓鱼邮件、恶意附件和链接传播，攻击者伪装成正常邮件或通信，诱使用户点击恶意链接或下载附件。一旦用户执行了恶意代码，病毒就会开始加密文件并传播。此外，Trustezeb 具备较强的反病毒与反分析能力。它能够禁用防病毒软件、关闭系统恢复功能，并通过修改注册表来防止清除。同时，病毒会识别沙箱环境，避免在安全监测中被捕获，从而提高逃避检测的成功率。

勒索支付通常要求比特币支付，受害者支付赎金后，攻击者承诺提供解密工具或密钥，但支付赎金并不保证文件一定能够恢复。Trustezeb 还具有定向攻击特点，特别针对企业和政府机构等高价值目标，利用社会工程学和漏洞扫描等手段渗透网络，增加了清除和防护的难度。

工具使用说明

注意：我们不推荐在位于U盘上的文件上运行解密器。

1. 下载 ESETTrustezebAdecoder.exe 工具并将文件保存到桌面。
2. 双击桌面上的ESETTrustezebAdecoder.exe以运行解密器。
3. 单击“解码”按钮。
4. 出现提示时，选择“桌面”文件夹以解密“桌面”和“桌面”子目录中的所有加密文件。要解密不同的文件夹，例如，所有文件夹都在 C 驱动器中，请选择 C：。

使用干净文件解码:

如果您收到消息：“找不到窗口的原始壁纸文件。尝试使用干净的文件进行解码”。

1. 单击“使用干净文件解码”。
2. 出现提示时，选择一个干净的文件，然后单击“确定”。
3. 出现提示时，选择同一文件的加密版本，然后单击“确定”。 例如，备份中的文档或照片（步骤 2）或已发送的电子邮件由 Trustezeb.A 加密。Decryptor 要求您选择文件的两个版本，以便正确解密所有其他文件。
4. 出现提示时，选择一个目录以解密其所有文件和子目录，然后单击“确定”。