1. 前言

  Mapo勒索软件首次出现于2019年，是GarrantyDecrypt家族的一种变体。它通过加密受害者的文件来索要赎金，与大多数勒索软件类似，Mapo通过添加“.mapo”扩展名来标识加密的文件。感染通常通过恶意附件或伪装成合法文件的电子邮件传播。受害者在感染后会发现其文件已被加密，并无法访问。尽管Mapo勒索软件并不具备复杂的混淆或反分析技术，但它的加密效果仍然给受害者带来了显著的挑战。

2. 特征

  Mapo勒索软件加密受害者的文件后，会在文件名后附加“.mapo”扩展名，并生成一个名为“MAPO-Readme.txt”的赎金说明文件。该文件中包含了支付赎金的详细指示和解密密钥的获取方法。通常，受害者被引导至一个特定网站，以获取解密所需的密钥。幸运的是，CERT Polska开发了一款免费解密工具，可以帮助受害者在无需支付赎金的情况下恢复其文件。使用此工具，受害者可以通过上传其赎金说明文件来获取解密密钥，从而安全地恢复被加密的数据。

3. 工具使用说明

1. 在使用解密工具之前，首先要确保从系统中删除恶意代码。如果不这样做，即使恢复了被感染的文件，系统也可能再次被感染。
2. 从下方链接下载 Mapo 解密器。
3. 从 https://mapo.cert.pl 获取密钥：

    1. 点击网站上的白色区域，上传赎金记录文件（MAPO-Readme.txt文件）。

    2. 选择文件后，应显示所选文件名。

  单击验证码以验证它，然后单击“获取密钥”按钮以检索密钥。

    3. 如果赎金记录正确且得到我们的解密器的支持，则将返回密钥。暂时不要关闭网站。

4. 在受感染的计算机上运行mapo_decryptor.exe （您在步骤 2 中下载的）。
5. 在 UAC 窗口中单击“是”。

6. 等待解密器提示“输入恢复的密钥”并输入密钥。
7. 解密器将要求您提供在步骤3中从服务获得的密钥，从网站复制密钥并将其粘贴到终端中，如下所示（首先右键单击标题栏）：

8. 输入密钥并按回车键将启动解密过程。出现“按“Enter”退出… ”消息后*，*您的所有文件都应已解密。
9. 如果出现问题，或者并非所有文件都已解密，请随时通过cert@cert.pl与我们联系。请附上 log.txt 文件，该文件应在mapo_decryptor.exe旁边生成。如果可以，请同时附上错误解密的文件。
10. 解密并确保文件已正确解密后，您可以安全地删除加密文件。