Nemucod数据恢复:从勒索软件恢复数据

世界上有很多恶意软件，恶意程度各不相同。但ransomware是目前为止地球上最恶劣的恶意软件之一。有大量的变种，每一个新的版本都在上一个的基础上改进，使得规避加密变得更加困难——或者不可能。在此数据恢复案例中，客户端受到Nemucod勒索病毒的攻击。这种病毒感染Windows机器的硬盘驱动器，并将恶意软件装载的有效载荷下载到受害者的计算机。截至今年春季，该有效载荷还包括一种可恶的病毒，可以加密受害者的关键文件。病毒用“”标记受影响的文件。CRYPTED”文件扩展名，并使它们不可用。客户把他们的硬盘给我们，希望我们的数据恢复专家可以成功执行Nemucod数据恢复服务。

---

---

Nemucod勒索软件:概述

Nemucod病毒是一种相对年轻的病毒。根据McAfee和赛门铁克等反病毒工具的数据库，它首次出现在2015年12月左右。Nemucod目前只影响Windows电脑。Nemucod经常以Javascript电子邮件附件的形式出现。当不知情的受害者下载附件(可能声称是商业发票或法律传票)时，他们最终会运行包含病毒的JScript文件。

最初，Nemucod会简单地下载一个恶意软件负载，在受害者的电脑上储存更多的病毒。然而，在2016年春天，Nemucod的新版本也开始加密用户文档．病毒会持有受害者的文件作为赎金，以0.4到0.6换取解密密钥比特币(一种无法追踪的数字加密货币)。

最新版本的Nemucod使用了一些聪明的技巧来绕过任何类型的防火墙或互联网连接设置，这些设置可能会阻止它下载和运行有毒的勒索软件负载。毫无疑问，它的创造者非常狡猾。但像大多数狡猾的人物一样，他们认为他们可以走一些捷径。恰好Nemucod的创造者选择了这样做在Nemucod的勒索软件负载上偷工减料．

Nemucod的设计者声称使用RSA 1024、2048或4096位加密来勒索受害者的文件。但研究表明，它实际上使用了更简单的异或加密。这最终成为Nemucod的致命缺陷之一。通过这样的偷工减料，它在勒索软件的盔甲上留下了一条裂缝。通过利用这个弱点，我们的逻辑和取证数据恢复专家Cody可以恢复客户的关键文件。在Nemucod数据恢复案例中，客户不必付钱给坏人来取回他们的文件。

Nemucod数据恢复过程

现在已经有一种工具可以帮助Nemucod勒索病毒的受害者。免费的解密器利用了病毒的弱加密。如果向解密程序提供一个加密文件和同一文件的未加密版本，则可以对所有受影响文件的解密密钥进行反向工程。当然，这依赖于受害者手头上有一个受影响文件的未加密版本。在Nemucod数据恢复案例中，我们的客户没有。所以我们要为他们找一个。

对我们的客户来说幸运的是，我们有像Cody这样的逻辑和取证数据恢复专家。我们有法医分析工具，男人，供我们使用。Cody的目标是用HOMBRE搜索磁盘中未分配的部分。在这1tb三星硬盘的大部分未分配的荒地中，科迪希望找到加密文件的删除版本，使用一些相同的技术删除数据恢复可能的。即使只有一个文件也可以。HOMBRE的所有工具都在他的指尖，这比大海捞针要容易得多。

在上面的图像中，黑色列出的文件名是客户端某个关键文件的当前版本。Nemucod病毒附加了”。CRYPTED "扩展到每个文件加密。通过“修改日期”字段可以看到病毒在8月2日攻击客户端。蓝色文件是科迪在逻辑分析中发现的同一文件的删除版本。带有问号的代码在逻辑上受到了太大的破坏，因此无法使用(如问号图标所示)。但有一个被删除的文件完好无损。科迪找到了Nemucod数字挂锁的钥匙。

结论

在恢复删除的文件后，Cody可以使用Emisoft解密工具生成解密密钥。整个过程进行得很顺利。解密密钥对客户端的每个加密文件都有效。这个勒索软件数据恢复案例取得了巨大的成功。我们将Nemucod数据恢复案例研究在我们的10分数据恢复案例评分量表上评为10分。

每种勒索病毒的运作方式都略有不同。没有一种万能的方法来恢复勒索软件数据。在某些情况下，绕过加密可能是不可能的。如果你受到勒索病毒的攻击，Gillware可以帮助你!张信哲代言博彩 欧宝娱乐欧宝娱乐百科