【工具分享】Lortok 勒索病毒恢复工具

前言

Lortok 勒索病毒是一种较为罕见的加密勒索软件，首次被发现于2020年左右，通常通过伪装成常用工具或诱导性邮件附件传播。它的核心行为是加密受害者的个人文件并勒索赎金，以换取解密密钥。尽管不像 LockBit、Conti 等主流勒索软件那样具备大规模组织支持和传播能力，但 Lortok 的危害性依然不容小觑。该病毒通常由个人攻击者或小型团体操控，目标多为普通用户和安全防护薄弱的小企业。其加密逻辑和勒索策略直观简洁，主要依靠强制加密和赎金威胁造成数据不可用，从而迫使用户支付赎金。

特征

Lortok 勒索病毒在感染系统后，会快速扫描用户设备中的各类文件，重点锁定文档、图片、数据库和压缩包等常用格式。被加密的文件会统一追加“.lortok”扩展名，原始文件名可能保留也可能被重命名，受害者将无法以正常方式打开这些文件。加密完成后，病毒会在每个加密文件夹中生成一封勒索信，通常命名为“README.txt”或“UNLOCK_FILES.txt”，其中包括攻击者的电子邮件地址、支付要求以及警告内容，常见的威胁包括“若不支付赎金，文件将永久丢失”等字样。

该病毒的传播途径主要包括恶意邮件附件、破解软件伪装程序和文件分享平台上的钓鱼链接。用户一旦下载并运行受感染的程序，病毒便开始执行加密流程。部分版本的 Lortok 会尝试禁用系统中的安全软件、关闭系统还原功能，并删除阴影副本，以阻断用户通过传统方法自行恢复数据。与多数勒索病毒一致，Lortok 通常要求使用比特币进行赎金支付，并在勒索信中设定时限，迫使用户尽快作出决策。

虽然 Lortok 没有明显的反检测机制，但其加密手段相对有效，且由于样本传播范围有限，较难被主流杀毒软件及时识别。此外，Lortok 并未公开建立数据泄露站点或“双重勒索”机制，但这也意味着攻击者更依赖赎金作为唯一收益来源。受害者若无备份，往往面临数据彻底丢失的风险。

综上，Lortok 勒索病毒虽不具备高级组织支持，但凭借其“加密+勒索”的基本逻辑，依然对普通用户和部分企业系统构成切实威胁。防范建议包括不点击来路不明的文件或链接、禁用宏脚本、安装可信防病毒软件并定期备份关键数据。

工具使用说明

重要提示！ 在使用数据恢复工具之前，请确保先从系统中隔离恶意软件，否则它可能会反复锁定您的系统或加密文件。如果当前的杀毒软件无法检测到恶意软件，可以使用 Emsisoft Anti-Malware 的免费试用版进行隔离。如果系统通过 Windows 远程桌面功能被攻击，我们还建议更改所有允许远程登录的用户密码，并检查本地用户账户是否存在攻击者可能添加的账户。

数据恢复工具需要连接互联网，并访问一个文件对（包含一个加密文件和其原始未加密版本），以重建数据恢复所需的加密密钥。请勿更改原始文件和加密文件的文件名，因为恢复工具可能会通过文件名比较来确定加密文件的正确扩展名。

1.下载 RakhniDecryptor.exe 文件。不同操作系统的下载说明如下：

• Windows 8 用户
• Windows 7 用户
• Windows Vista 用户

2.在被感染的计算机上运行 RakhniDecryptor.exe 文件。

3.在 Kaspersky RakhniDecryptor 主界面中，点击【更改参数（Change parameters）】链接。

4.在设置窗口中，选择要扫描的对象，包括本地硬盘、可移动磁盘和网络驱动器。

5.勾选【数据恢复后删除加密文件（Delete crypted files after decryption）】选项。工具将自动删除扩展名为 .locked、.kraken 和 .darkness 的加密文件副本。

6.点击【确定（OK）】保存设置。

7.在主界面中点击【开始扫描（Start scan）】按钮。

8.弹出窗口提示“指定一个加密文件的路径（Specify the path to one of encrypted files）”，请选择任意一个被加密的文件，点击【打开】。

9.工具将开始尝试恢复加密密码。过程中会弹出警告窗口，请注意提示内容。

10.请等待解密过程完成。在此过程中请勿关闭程序或关闭电脑，以防数据恢复失败。