1. 前言

   Chaos勒索软件首次出现于2021年6月，最初以“Ryuk .NET Ransomware Builder v1.0”的名称在地下论坛上进行推广。尽管最初被宣传为Ryuk的.NET版本，实际上，Chaos早期版本更类似于破坏性木马而非传统的勒索软件。这些早期版本不仅没有进行加密，反而通过覆盖文件内容使其无法恢复。随着版本的迭代，Chaos逐渐演变为一种具有加密功能的勒索软件，专门针对文件大小小于2MB的文件进行加密。Chaos家族不断发展，到2022年时，该软件被多个勒索软件变种所使用，如Onyx和Yashma。

2. 特征

   感染Chaos勒索软件后，受害者的文件会被加密并附加独特的文件扩展名，如“.crypted”或随机生成的字符序列。Chaos还会生成一个赎金说明文件，通常名称为“readme.txt”，其中包含了如何支付赎金以获取解密工具的指示。Chaos的加密范围广泛，涵盖多种文件类型，且会删除系统的影子副本，禁用恢复功能。此外，该勒索软件的某些变种还会覆盖大于一定大小的文件，使其永久无法恢复，即便支付赎金也无济于事。

3. 工具使用说明

准备

1. 执行全盘备份

在运行解密器之前，请对整个驱动器进行完整备份。

勒索软件会删除大文件，而这些文件可能可以通过文件恢复工具进行恢复。因此，保留驱动器上的可用空间非常重要。

2. 移除勒索软件持久性

勒索软件会创建各种类型的持久性，具体取决于压力和配置。持久性技术包括启动文件夹项、计划任务、系统服务和自动运行注册表键。您必须手动删除系统上的任何持久性。否则将导致您的系统再次被加密。

一般来说，解密器软件并不能取代适当的取证调查的需要。我们敦促您执行遏制、取证调查和补救活动，以保护您的环境免受进一步损害。

3. 停止勒索软件进程

在运行解密器之前，您必须确保勒索软件进程不再运行。

4. 磁盘空间和权限

解密软件需要具有对您想要解密的文件/文件夹的读写权限。解密器将为每个加密文件创建一个新的解密文件，因此我们建议目标卷上至少有50%的可用磁盘空间。

5. 获取解密软件

请点击链接 https://nomoreransom.org 下载解密软件。

或者，您可以从源构建解密器。有关进一步说明，请参阅 Github 存储库中的自述文件。

运行解密器

解密器是一个向导样式的应用程序。在向导中导航，并按照应用程序中的说明恢复文件。

请注意，解密将需要几个小时。在解密完成之前，请勿关闭计算机。

1. 设置

2. 解压缩 zip 存档并运行setup.exe文件。

2. 安装程序未签名，因此系统将提示您以下警告。单击“安装”以继续。

3. 设置完成后，将会显示欢迎页面，如下图所示。

2. 许可协议

请仔细阅读许可协议。您必须接受本协议才能使用此软件。

3. 设置

4. 文件设置

递归解析子目录 – 选中复选框以递归方式解析目标文件夹的子文件夹（在向导的下一页上选中）。如果未选中该复选框，则将跳过子目录。

加密文件的文件扩展名 – 定义勒索软件附加到加密文件的扩展名。

2. 解密器设置

解密器 – 选择加密了您想要解密文件的病毒种类。如果您不知道自己受到了哪种病毒的影响，请点击“帮我识别”按钮。

3. 数据库设置

您可以从本地文件系统选择数据库文件，或者选择下载数据库文件。要下载数据库文件，您的计算机必须允许出站443/HTTPS连接到托管该文件的亚马逊网络服务。

请注意，数据库文件为 103GB。请确保您有可用的磁盘空间。

要在没有 Internet 访问权限的情况下执行解密，请从另一个可以 Internet 访问的系统手动下载文件，然后将文件复制到您的本地系统。数据库文件和校验和可在以下位置获得：

https://datafile-public.s3.eu-north-1.amazonaws.com/chaos/chaos.db

https://datafile-public.s3.eu-north-2.amazonaws.com/chaos/chaos_sha1.sum

或者，您还可以运行数据库生成脚本并生成数据库，以避免等待下载。请参阅 Github 仓库中有关生成数据库的说明。

4. 选择需要解密的文件

通过单击“添加文件夹”按钮选择包含要解密的文件的文件夹。

  5. 运行解密器

请注意，解密将需要几个小时。在解密过程完成之前，请勿关闭计算机。

6. 验证和清理

解密完成后，您的文件应该已经被解密，使得您将能够再次访问它们。

请注意，解密器不会删除任何加密文件。在某些情况下，解密的文件将无效。在删除加密文件之前，请手动确认每个解密的文件都是有效的。