1. 前言

  BadBlock勒索软件首次出现在2016年，专门针对Windows操作系统的用户。与其他勒索软件不同，BadBlock并不会在加密文件后附加自定义的文件扩展名，而是直接加密系统中的所有文件，并阻止受害者访问数据和操作系统。感染后，BadBlock会将计算机的桌面背景更改为红色锁屏，并显示“Badblock in on the block!”的字样，借此吸引受害者的注意。它声称用户的文件已被使用RSA算法（一种使用公钥和私钥的非对称加密算法）加密，这种算法通常用于安全数据传输。

2. 特征

  BadBlock勒索软件加密系统上的所有文件，但不会更改文件的扩展名。感染后，它会在桌面上生成一个名为“Help Decrypt.html”的赎金说明文件。赎金票据中要求受害者支付两枚比特币（或约900美元）以获取解密密钥。赎金票据还提供了购买比特币和将其转移到攻击者账户的帮助链接。票据中进一步解释，解密过程将在付款验证后开始，可能需要长达两小时的时间。此外，票据中警告说，如果受害者的防病毒软件更新并自动删除了BadBlock，即使支付了赎金，也无法恢复文件。

3. 工具使用说明

   1. 点击下面的下载按钮，获取趋势科技勒索软件文件解密器工具的最新版本。将压缩包解压后，启动包含的RansomwareFileDecryptor.exe文件。

  2. 启动后，用户需要接受最终用户许可协议（EULA）才能继续。

  3. 接受最终用户许可协议后，该工具将进入主用户界面（UI）。、

  4. 选择勒索软件名称：大多数勒索软件通常包含文本文件或html文件，以通知用户的系统已被某种类型的勒索软件感染。使用此信息，受影响的用户可以选择可疑的勒索软件名称来解密文件。

   注意：选择“我不知道勒索软件名称”选项时，该工具将提示用户选择要解密的目标文件，并尝试根据文件签名自动识别勒索软件。

  5. 选择加密的文件或文件夹:该工具可以尝试使用递归模式解密文件夹及其子文件夹中的单个文件或所有文件。通过单击“选择和解密”，选择一个文件夹或文件，然后单击“确定”开始解密过程。

  6. 开始解密文件:选择文件或文件夹后，该工具将自动开始扫描和解密文件。

  如果扫描目标是文件夹，则该工具将首先从目标文件夹中收集一些文件信息，以帮助确定需要解密的文件。在扫描过程中，滚动条将指示解密进度，并且 UI 将更新以指示已加密的文件数量和已解密的文件数量。

  该工具可以非常快速地解密某些类型的勒索软件加密文件（例如 TeslaCrypt）文件。但是，其他文件类型（例如 CryptXXX）可能需要更长的时间。总持续时间还取决于目标文件夹中有多少文件。

  如果在扫描过程中单击“停止”，则该过程将被中断。

  7. 解密 CyptXXX V1、XORIST、XORBAT 或 Nemucod（可选）:如果该工具识别出由 CryptXXX V1 勒索软件加密的文件，它将要求用户提供其他信息以继续，因为特定解密需要一些独特的处理。

  8. 选择上面突出显示的“单击此处”选项后，将出现另一个对话框，要求输入文件对。如果有可用的备份副本，用户将需要选择受感染的文件和匹配的未受感染文件（文件大小越大越好）。

  9. 完成文件解密:扫描和解密过程完成后，UI将显示结果。

  通过单击“查看加密文件”，该工具将打开选择扫描的加密文件位置或文件夹。解密的文件驻留在打开的文件夹中。

  解密的文件名将与之前加密的文件相同，但删除勒索软件附加的扩展名除外。

  对于那些加密时文件名没有改变的文件，解密后的文件名将是{原文件名}解密.{扩展名}。

  单击完成后，该工具将返回到主 UI。重复步骤 4 和 5 以解密更多文件。