前言

NemucodAES（也称 Nemucod 勒索家族变体）于约 2017 年夏首次出现。这是一种基于 JavaScript 和 PHP 的勒索病毒，通过 AES 和 RSA 加密技术对文件进行加密，通常以“未投递包裹”形式的钓鱼邮件传播，附件中包含恶意 .js 脚本，执行后下载并部署 PHP 加密组件。感染完成后，NemucodAES 通过生成 DECRYPT.hta 勒索通知要求赎金来进行数据恢复。

特征

NemucodAES 在系统中遍历本地及网络驱动器上的多种文件，但它仅加密每个文件前约 2 KB 的数据。使用 AES‑128（ECB 模式）随机密钥进行加密，并用 RSA 加密该密钥保存于 %TEMP% 的数据库文件中。加密后，文件保留原名但开头被篡改内容，旨在阻止直接访问。

感染结束后，该病毒会删除系统卷影副本，并在桌面生成 DECRYPT.hta 勒索焦警页面，同时可能更改桌面背景，要求支付约 0.13 BTC 的赎金以进行数据恢复。

NemucodAES 通过 ZIP 附件伪装成 UPS 等快递通知进行传播，下载后执行 .js 文件并部署勒索组件。它往往与 Kovter 点击欺诈木马协同作用，形成复杂的恶意攻击链。

尽管使用了强加密方式，NemucodAES 的随机机制存在可预测性，使得安全厂商如 Emsisoft 成功开发出可免费进行有限数据恢复的工具。

工具使用说明

通过采用“数据恢复”而非“解密”一词，更贴合安全行业应对勒索攻击后提供文件恢复的实际操作，希望这版内容符合你的需求，有其他细节可继续优化。

1.从提供本“操作指南”文档的同一网站下载恢复工具。

2.运行下载得到的恢复工具可执行文件。程序将自动搜寻系统中的 NemucodAES 文件数据库，并尝试恢复加密中的数据。

3.数据恢复工具完成数据库重建后，会提示复原完成。

4.接下来会弹出许可协议窗口，点击“是”按钮以同意协议。

5.同意协议后，主界面将打开，显示可恢复文件列表。

6.默认情况下，工具会根据数据库信息自动加载待恢复的文件列表。

7.您可在“选项”选项卡中调整高级设置。该工具针对不同勒索病毒家族，支持多种自定义选项（详见下文）。

8.点击“恢复”按钮开始恢复数据。界面将切换为状态视图，显示恢复进度及各个文件的状态。

9.恢复完成后，工具会提示操作结束。

可用恢复工具选项： 由于勒索软件不会保存有关未加密文件的信息，解密工具无法保证恢复的数据与原始数据完全相同。因此，恢复工具默认不会在数据恢复后删除任何加密文件，以避免数据丢失。如果您的磁盘空间有限，您可以禁用此选项，让恢复工具在处理完成后删除加密文件。

工具下载地址