【工具分享】Gomasom勒索病毒恢复工具

前言

Gomasom 勒索病毒是一种早期的加密勒索软件，最早出现在2014年左右，目标是通过加密受害者的重要文件来勒索赎金。该病毒的名字来源于其独特的文件后缀标记。Gomasom 通过钓鱼邮件、恶意附件以及漏洞利用工具包传播，通常针对个人用户和中小企业。尽管该病毒的加密算法相对简单，但它的快速传播和有效的威胁手段使其成为当时一款具有代表性的勒索软件。Gomasom 还通过在受害者系统中生成详细的勒索信，要求以比特币支付赎金，以换取解密工具或密钥。

特征

Gomasom 勒索病毒在感染系统后，会扫描并加密多种文件类型，包括文档、图片、视频和数据库文件等。加密后的文件会附加“.gomasom”或类似后缀，表示文件已被锁定，无法被正常打开。病毒在加密的文件夹中生成勒索信，通常命名为“HOW_TO_RESTORE_FILES.txt”，详细说明赎金支付的要求，提供比特币支付地址，并威胁称，如果未在规定时间内支付赎金，文件将无法恢复或被永久删除。

Gomasom 通过多种方式传播，最常见的是钓鱼邮件和恶意附件，这些邮件通常伪装成合法通知或重要文件，诱导用户点击链接或下载附件。一旦执行，病毒会立即开始加密文件，并删除系统的备份和恢复点，以防止受害者通过常规方式恢复数据。

尽管 Gomasom 使用的加密算法相对简单，但由于加密过程覆盖了广泛的文件类型，且病毒会在感染后禁用防病毒软件和修改系统设置，因此恢复被加密文件变得极为困难。病毒还具备一定的反检测功能，能够识别虚拟机和沙箱环境，从而避免被安全工具捕获。

总体来说，Gomasom 勒索病毒通过高效的加密手段和直白的勒索策略，给受害者带来了严重的数据威胁。用户应提高对钓鱼邮件的警惕性，避免打开未知来源的文件，并定期备份数据，以降低此类病毒带来的损害。

工具使用说明

重要提示！请确保先从系统中移除恶意软件，否则它会反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以为您完成此操作。如果您的系统是通过Windows远程桌面功能遭到入侵，我们还建议更改所有允许远程登录用户的密码，并检查本地用户账户是否存在攻击者可能添加的额外账户。

解密工具需要访问一个文件对，其中包括一个加密文件和该加密文件的原始未加密版本，以重建解密其余数据所需的加密密钥。请勿更改原始文件和加密文件的文件名，因为解密工具可能需要通过文件名对比来确定系统中加密文件所使用的正确文件扩展名。

1. 从提供此《操作指南》文档的同一网站下载解密工具。
2. 下载完成后，选择您的文件对，然后使用鼠标将其拖放到解密工具的可执行文件上：
3. 松开鼠标键后，解密工具将开始重建所需的加密参数。根据勒索软件的不同，此过程可能需要相当长的时间：
4. 解密工具将在恢复过程完成后显示重建的加密详细信息。该显示仅用于信息确认，以确保所需的加密详细信息已被找到：
5. 接下来会显示许可条款，您需要点击“是”按钮以同意条款：
6. 接受许可条款后，解密工具的主用户界面将会打开：
7. 默认情况下，解密工具会自动填充当前连接的驱动器和网络驱动器的解密位置。可以使用“添加”按钮添加其他位置，此外，对象列表也支持通过拖放方式添加文件和位置。
8. 解密工具通常根据具体的恶意软件家族提供多种选项。可用选项位于“选项”选项卡中，可以在此启用或禁用。以下是可用选项的详细列表：
9. 在将所有需要解密的位置添加到列表后，点击“解密”按钮开始解密过程。屏幕将切换到状态视图，显示当前进程和文件解密状态的信息：
10. 解密工具将在解密过程完成后通知您：

如果您需要保存报告供个人记录，可以通过点击“保存日志”按钮进行保存。您还可以将其直接复制到剪贴板，以便在需要时粘贴到电子邮件或论坛帖子中。

当前解密工具支持以下选项：

• 保留加密文件 由于勒索软件不会保存未加密文件的任何信息，解密工具无法保证解密后的数据与之前加密的数据完全一致。因此，解密工具默认出于谨慎考虑，在解密完成后不会删除任何加密文件。如果您希望解密工具在处理完加密文件后将其删除，可以禁用此选项。如果您的磁盘空间有限，可能需要禁用该选项。