【工具分享】HermeticRansom勒索病毒恢复工具

前言

HermeticRansom 勒索病毒是一种高度针对性的加密勒索软件，首次在 2022 年初被发现，与同一时期的 HermeticWiper 数据破坏工具密切相关。该病毒主要针对乌克兰和东欧地区的企业与政府机构，表现出精心策划的攻击特征，通常被认为是国家级威胁活动的一部分。HermeticRansom 旨在通过加密目标系统的重要数据，随后要求支付赎金以换取解密密钥。与传统勒索病毒不同，HermeticRansom 不仅加密文件，还可能结合破坏性功能，造成更严重的业务中断。该病毒的传播方式主要依赖网络漏洞、鱼叉式钓鱼邮件以及被攻陷的远程桌面协议（RDP），使得防范和应对变得更加复杂。

特征

HermeticRansom 勒索病毒感染系统后，会迅速加密受害者的重要文件，包括文档、图片、数据库和系统配置文件，并附加特定的扩展名，例如“.encrypted”或其特定变种，使文件无法被正常访问。病毒在受影响的目录中创建勒索信，通常命名为“README.txt”，其中详细描述支付赎金的要求，提供比特币或门罗币的支付地址，并威胁受害者如果不支付赎金，将永久失去访问其数据的能力。

该病毒的传播方式主要依赖社会工程学手段，如通过钓鱼邮件发送恶意附件，或利用未修复的漏洞在目标网络中横向传播。一旦成功入侵，HermeticRansom 会禁用安全软件、删除备份文件，并修改系统关键注册表项，以阻止受害者恢复数据。病毒的高效传播能力使其能够在短时间内扩散至整个网络，造成严重影响。

此外，HermeticRansom 具备反分析和反检测功能，能够识别虚拟机和沙箱环境，从而逃避安全研究人员的监测。它采用代码混淆和多层加密技术，进一步增加了检测和清除的难度。部分攻击案例表明，HermeticRansom 可能会与数据擦除工具 HermeticWiper 联合使用，先加密数据，再通过擦除手段确保其无法恢复，增强攻击的破坏性。

HermeticRansom 的攻击目标通常为政府、能源、金融和制造业等关键基础设施，表明其背后可能涉及更复杂的攻击动机。受害者在攻击发生后，往往面临极大的数据丢失和运营中断风险。为防范 HermeticRansom，企业应加强网络安全防护措施，及时更新系统补丁，增强员工的网络安全意识，并部署多层防御策略，以降低遭受攻击的风险。

工具使用说明

1. 下载 avast_decryptor_RANSOMWARE_NAME.exe 文件（例如：avast_decryptor_globe.exe），然后按照以下步骤操作：

• 点击 “运行” 立即启动应用程序。
• 或者将其保存到桌面，稍后通过双击桌面上的 avast_decryptor_globe.exe 图标运行。

2. 如果弹出 “Windows 保护您的电脑” 对话框，点击 “更多信息”，然后点击 “仍要运行”。

3. 在欢迎界面上，点击 “下一步”。
4. 使用提供的按钮定位您要解密的文件，然后点击 “下一步”。重要提示： 以下三个步骤（步骤5至7）仅适用于需要破解密码的情况，否则向导将直接跳转到步骤8所述的界面。
5. 提供加密文件和原始文件的位置，然后点击 “下一步”。

• 注意： 破解密码需要同时提供原始文件和加密文件。您通常可以在以下位置找到原始文件：
• 云备份、U盘或其他外部存储设备。
• 标准的Windows声音文件或图片（例如壁纸），这些文件可以从网络或其他电脑下载。
• 通过电子邮件接收或发送的文档、图片或视频。

6. 点击 “开始” 以启动密码破解过程。注意： 该过程会占用大量系统资源。如有需要，可点击 “暂停” 以暂时中断该过程。
7. 当破解的密码出现在密码框中时，点击 “下一步”。
8. 根据需要勾选以下选项，然后点击 “解密”：

• 备份加密文件：创建加密文件的备份。
• 以管理员身份运行解密过程：允许解密过程访问所有文件，包括仅管理员权限可访问的文件。

9. 解密完成后，点击 “显示日志” 以查看解密过程的概览，或点击 “关闭” 退出向导。