1. 前言

  Nemucod勒索软件最初出现在2015年12月。它起初是一种木马下载器，旨在通过下载其他恶意软件来感染受害者的计算机，如TeslaCrypt等知名勒索软件。Nemucod通常通过伪装成合法电子邮件的附件传播，这些电子邮件通常包含虚假发票、护照或其他官方文件的链接。随着时间的推移，Nemucod演变为包含勒索功能，使用简单的XOR加密方法对文件进行加密。

2. 特征

  Nemucod勒索软件通常通过恶意JavaScript文件传播，这些文件被隐藏在ZIP附件中并通过垃圾邮件发送。受害者一旦打开这些文件，恶意代码就会下载并执行。Nemucod会将受感染文件的扩展名更改为“.crypted”或其他指定扩展名。它生成的勒索说明文件通常以“_DECRYPT.txt”结尾，指示受害者支付赎金以解密文件。Nemucod还可以删除系统中的卷影副本，以防止数据恢复。尽管其加密方法相对简单，安全研究人员已经开发了解密工具，可以帮助受害者恢复数据。

3. 工具使用说明

  1. 从提供此“操作方法”文档的同一站点下载解密器。

  2. 下载后，选择您的文件对，然后使用鼠标将其拖放到解密程序的可执行文件上：

  3. 一旦释放鼠标按键，解密程序将开始重建所需的加密参数。根据勒索软件的不同，这个过程可能需要相当长的时间。

  4. 恢复过程完成后，解密器将显示重建的加密详细信息。该显示仅供参考，以确认已找到所需的加密详细信息：

  5. 接下来将显示许可条款，您必须通过单击“是”按钮来同意这些条款：

  6. 一旦接受许可条款，主解密器用户界面将打开：

  7. 默认情况下，解密器将在解密的位置预填充当前连接的驱动器和网络驱动器。可以使用“添加”按钮添加其他位置。此外，对象列表接受通过拖放添加的文件和位置。

  8. 解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中，可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。

  9. 将要解密的所有位置添加到列表中后，单击“解密”按钮开始解密过程。屏幕将切换到状态视图，通知您文件的当前进程和解密状态：

  10. 解密过程完成后，解密器将通知您：

  如果您需要报告作为个人记录，可以点击“保存日志”按钮进行保存。如果需要，您也可以将其直接复制到剪贴板，以粘贴到电子邮件或论坛帖子中。

  可用的解密器选项：

  - 保留加密文件：由于勒索软件不会保存有关未加密文件的信息，解密器无法保证解密的数据与之前加密的数据相同。因此，默认情况下，解密器将保留加密文件。如果您希望在解密后删除加密文件，则可以禁用此选项。如果磁盘空间有限，则可能需要考虑这一点。

  - 检测失败的加密：由于勒索软件中的一个错误，一些文件没有被加密，而只是被重命名了。如果启用，此选项将指示解密器重命名文件，而不是实际尝试解密它们。