1. 前言

  LockerGoga勒索软件首次出现于2019年1月，并迅速成为工业和制造行业的重要威胁之一。它因其在攻击诺尔斯克水电（Norsk Hydro）等大型工业公司的行动中展现出的破坏力而闻名。LockerGoga通过手动部署在受害者的系统上，采用了加密与网络隔离相结合的策略来瘫痪整个企业的运营。与其他勒索软件不同，LockerGoga在攻击后不立即要求赎金，而是通过改变系统管理员的密码和关闭网络接口来进一步增加恢复的难度。该勒索软件的名字来源于其开发者的项目文件名，显示了其利用Crypto++和Boost库进行加密的技术背景。

2. 特征

  感染LockerGoga勒索软件后，文件会被加密，并被添加“.locked”扩展名。LockerGoga在加密过程中使用了AES/Rijndael算法，生成的加密密钥会被附加到每个加密文件的末尾。加密完成后，LockerGoga会删除自身的可执行文件，并生成一个赎金说明文件。该勒索软件还会禁用系统的网络接口和日志功能，确保受害者无法轻易恢复系统或追踪攻击源。与其他勒索软件不同，LockerGoga不通过自动传播感染网络，而是由攻击者手动在网络中传播，加剧了其针对性和破坏性。

3. 工具使用说明

1. 从本页下载解密工具并将其保存在计算机上的某个位置
2. 双击该文件，然后在UAC提示符中单击"是"。

3. 阅读《使用条款》，然后勾选“通过勾选此框，您接受《使用条款》”以表示您同意《最终用户许可协议》，之后点击“继续”。

4. 如果要搜索所有加密文件或仅添加加密文件的路径，选择“扫描整个系统”。

  我们强烈建议您同时保持启用“备份文件”选项。然后按“立即开始”。

  用户还可以选中“高级选项”下的“替换以前解密的文件”选项，该工具将替换已解密的文件。

  在此步骤结束时，您的文件应该已被解密。

  如果选中备份选项，您将看到加密和解密的文件。您还可以在 %temp%\BitdefenderLog.txt 文件夹中找到描述解密过程的日志：

  要摆脱您遗留的加密文件，只需搜索匹配该扩展名的文件并删除它们。在此之前，请确保您已检查过文件已经正确解密。

静默执行（通过 cmdline）

  该工具还提供了通过命令行静默运行的可能性。如果需要在大型网络内自动部署该工具，则可能需要使用此功能。

  -help - 将提供有关如何静默运行该工具的信息（此信息将写入日志文件中，而不是控制台中）

  start - 此参数允许工具静默运行（无 GUI）

  -scan-path - 此参数指定包含加密文件的路径

  -full-scan - 将启用“扫描整个系统”选项（忽略 -scan-path参数）

  -disable-backup - 将禁用文件备份选项

  -replace-existing - 将启用“替换以前解密的文件”选项

例子：

  BDLockerGogaDecryptTool.exe start -scan-path:C:\ ->该工具将在没有 GUI 的情况下启动并扫描 C盘

  BDLockerGogaDecryptTool.exe start -full-scan ->该工具将在没有 GUI 的情况下启动，并且扫描整个系统

  BDLockerGogaDecryptTool.exe start -full-scan -replace-existing ->该工具将扫描整个系统并覆盖呈现的干净文件