1. 前言

  PyLocky勒索软件首次出现在2018年，以模仿著名的Locky勒索软件而得名。与Locky无实际关联，PyLocky是用Python编写的，并通过PyInstaller打包成可执行文件，使其更难被检测。PyLocky通常通过网络钓鱼邮件传播，邮件伪装成合法主题，如发票或付款确认，诱导受害者点击恶意链接下载病毒。它特别针对欧洲地区的用户，尤其是法国的企业。在安全社区的努力下，多个版本的PyLocky解密工具相继发布，帮助受害者恢复文件。

2. 特征

  感染PyLocky后，文件会被加密，并附加“.lockedfile”、“.lockymap”或“.locky”等扩展名。加密完成后，PyLocky会在受感染的系统中生成一个赎金说明文件，要求受害者支付赎金以获取解密密钥。赎金信伪装成Locky的风格，进一步增加了勒索的可信度。PyLocky具有一定的反检测功能，可以绕过部分基于机器学习的检测系统。此外，法国政府和Cisco Talos等安全组织发布了用于解密PyLocky的免费工具，帮助用户在不支付赎金的情况下恢复数据。

3. 工具使用说明

  要求：Windows 7 或更高版本操作系统

  1. 安装 Java 运行时环境或 JRE 版本 8，可在 Oracle 网站上免费获取 （https://www.java.com/download/）

  2. 将驱动器连接到要用于分析的计算机，并且其硬盘驱动器的文件已加密。

  3. 下载程序 Pylocky_Decryptor.jar

  4. 双击运行程序，应显示以下窗口：

  5. 选择 Pylocky 的版本 （V1 ：: .Lockymap .Lockedfile / V2：.Locky）

  6. 通过单击所选内容按钮，赎金票据LOCKY-README.txt已复制到您的外部驱动器上。

  7. 选择与您的驱动器匹配的驱动器字母：通过单击箭头来外部驱动器：

  8. 然后点击“Démarrer”。

  9. 该程序将自动搜索复制到磁盘上的加密文件并继续解密。

  如果未检测到加密文件，请确保：

    您选择了磁盘驱动器的正确字母;

    您已选择正确的恶意软件版本，然后重新开始。

  如果您没有机会在带有Pylocky_Decryptor的干净系统上连接受感染的驱动器，您也可以直接将其安装在受感染的计算机上

  我们建议您，一旦所有文件都被解密，请将它们传输到新系统上，并且不要使用受感染计算机的系统，因为它可能仍然包含恶意文件。