1. 前言

  Avest勒索软件首次被发现是在2022年初。这种勒索软件以其特有的加密扩展名“.ckey().email().pack14”迅速引起了安全专家的注意。通过复杂的加密技术，Avest能够有效地锁定受害者的文件，并要求通过指定的联系方式进行赎金支付。Avest勒索软件的攻击通常是通过社会工程学方法，如钓鱼邮件等手段传播，使得它能够迅速感染广泛的用户群体。

2. 特征

  Avest勒索软件在成功加密文件后，会在每个受影响的文件夹中生成一个名为“!!!Readme!!!Help!!!.txt”的赎金说明文件。该说明文件包含了攻击者的联系方式（例如：data1992@protonmail.com）和一个唯一的密钥标识符（key: redacted id），要求受害者通过邮件联系以获得解密密钥。此外，Avest的加密文件扩展名“.ckey().email().pack14”使其在众多勒索软件中独具辨识度。

3. 工具使用说明

  重要提示：在使用 Emsisoft 解密器前，请务必先将恶意软件与系统隔离开来，否则它可能会反复锁定您的系统或加密文件。如果您当前的防病毒解决方案无法检测到恶意软件，则可以使用 Emsisoft Anti-Malware 的免费试用版对其进行隔离。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能添加的其他帐户。

  文件解密步骤：

  1. 从提供此“操作方法”文档的同一站点下载解密器。

  2. 以管理员身份运行解密器.

  3. 显示许可条款后，单击“是”按钮同意。

  4. 接受条款后，使用“浏览”按钮选择您的文件对。然后，单击“开始”按钮。

  5. 恢复过程完成后，解密器将显示重建的加密详细信息。该显示仅用于确认所需的加密细节已被找到。

  6. 找到密钥后，单击“确定”以打开主解密器用户界面。

  7. 默认情况下，解密器将在解密的位置预填充当前连接的驱动器和网络驱动器。可以使用“添加”按钮添加其他位置。

  8. 解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中，可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。

  9. 将要解密的所有位置添加到列表中后，单击“解密”按钮开始解密过程。屏幕将切换到状态视图，通知您文件的当前进程和解密状态：

  10. 解密器将在解密过程完成后通知您。如果您需要报告作为个人记录，可以点击“保存日志”按钮进行保存。如果需要，您也可以将其直接复制到剪贴板，以粘贴到电子邮件或论坛帖子中。

  可用的解密器选项：

  - 保留加密文件：由于勒索软件不会保存有关未加密文件的信息，解密器无法保证解密的数据与之前加密的数据相同。因此，默认情况下，解密器将保留加密文件。如果您希望在解密后删除加密文件，则可以禁用此选项。如果磁盘空间有限，则可能需要考虑这一点。