1. 前言

  Amnesia 勒索软件于 2017 年 4 月 26 日开始出现。Amnesia 主要感染媒介似乎是通过 RDP（远程桌面服务）暴力攻击，允许恶意软件作者登录受害者的服务器并执行勒索软件。

2. 特征

  Amnesia 是一种用 Delphi 编程语言编写的勒索软件，它使用 AES-256 加密算法加密您的文件。加密文件被重命名为 *.amnesia，赎金票据称为“HOW TO RECOVER ENCRYPTED FILES.TXT”，并要求您联系“s1an1er111@protonmail.com”。它可以在您的桌面上找到。

  一旦犯罪分子获得访问权限，恶意软件将删除系统的恢复点，因此一旦加密，就无法使用卷影副本来恢复文件。它还将使用文件名“guide.exe”将自身复制到 %APPDATA% 目录中，并在“HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce”项中注册自身，以便在下次启动时自动启动。

  Amnesia 在 ECB 模式下使用 AES-256 加密对最多 1 MB 的文件进行加密。一旦文件以这种方式被锁定，恶意软件就会在它们后面附加“.amnesia”扩展名。

3. 工具使用说明

  重要！确保先从系统中删除恶意软件。否则，它将反复锁定系统或加密文件。任何可靠的防病毒解决方案都可以为您做到这一点。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能添加的其他帐户。

  解密器需要访问由一个加密文件和加密文件的原始未加密版本组成的文件对，以重建解密其余数据所需的加密密钥。请不要更改原始文件和加密文件的文件名，因为解密器可能会执行文件名比较以确定用于系统上加密文件的正确文件扩展名。

  1.公众号后台发送xxx，进行解密器下载。

  2.下载后，选择您的文件对，然后用鼠标将其拖放到解密器可执行文件上：

  3.释放鼠标密钥后，解密器将开始重建所需的加密参数。根据勒索软件的不同，此过程可能需要大量时间：

  4.恢复过程完成后，解密器将显示重建的加密详细信息。显示纯粹是信息性的，以确认已找到所需的加密详细信息：

  5.接下来将显示许可条款，您必须通过单击“是”按钮来同意：

  6.接受许可条款后，将打开主解密器用户界面：

  7.默认情况下，解密器将使用当前连接的驱动器和网络驱动器预填充要解密的位置。可以使用“添加”按钮添加其他位置。此外，对象列表接受要通过拖放添加的文件和位置。

  8.解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中，可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。

  9.将要解密的所有位置添加到列表中后，单击“解密”以启动;解密过程。屏幕将切换到状态视图，通知您文件的当前进程和解密状态：

  10.解密过程完成后，解密器将通知您：

  11.如果您需要报告作为您的个人记录，您可以通过单击“保存日志”来保存它.

  解密器当前实现以下选项：

  保留加密文件

  由于勒索软件不会保存有关未加密文件的任何信息，因此解密器无法保证解密的数据与之前加密的数据相同。

  因此，默认情况下，解密器将选择谨慎行事，并且在解密后不会删除任何加密文件。如果希望解密器在处理完任何加密文件后将其删除，则可以禁用此选项。如果磁盘空间有限，则可能需要这样做。