GoGoogle恢复工具
1. 前言
GoGoogle勒索软件首次被发现于2020年,是一种通过远程桌面协议(RDP)手动部署的勒索软件。这款恶意软件使用了Golang编程语言编写,这是近年来越来越多恶意软件开发者青睐的编程语言。其开发者利用该语言的跨平台特性,使得GoGoogle能够针对不同操作系统的设备进行攻击GoGoogle在加密前会先终止多种服务和进程,以确保加密过程不被干扰,并清除系统日志以隐藏其踪迹。这款勒索软件主要针对Windows系统,受害者包括企业和个人用户。
2. 特征
感染GoGoogle勒索软件后,所有被加密的文件会被附加扩展名如“.google”或“.GoGoogle”。同时,系统中会生成一个名为“FileRecovery.txt”的赎金说明文件。赎金说明通常包含攻击者的联系信息(如“Mr.Decod2021@protonmail.com”),并要求受害者通过电子邮件与其联系以获取解密密钥。攻击者声称受害者可以免费发送两份加密文件进行解密,以证明其解密能力。此外,GoGoogle勒索软件的多种变种使用了不同的扩展名和联系方式,使得它更难以通过常规方式进行检测和防御。
3. 工具使用说明
- 下载解密工具并将其保存在计算机中的某个位置。
此工具不需要有效的互联网连接。
- 双击文件(以前另存为 BDGoGoogleDecryptor.exe)并通过在 UAC 警报上单击“是”来允许其运行。
- 选择“我同意”以接受最终用户许可协议。
- 如果您想要搜索所有加密文件,选择“扫描整个系统”;或者只添加之前保存加密文件的路径。
我们强烈建议您在开始解密过程之前也选择“备份文件”,以防解密过程中发生任何不希望出现的情况。然后按下“启动工具”。
“测试文件夹”必须包含两对原始/加密文件,用于确定解密类型。此文件夹必须仅包含两对:
-1对小于 1 MB 的加密/原始文件。
-1对大于 2 MB 的加密/原始文件。
注意:某些版本的 GoGoogle 以不可恢复地更改 2MB 以下的文件而闻名。
用户还可以选中“高级选项”下的“覆盖现有的干净文件”选项,以便该工具将用解密的等效文件覆盖可能存在的干净文件。
在此步骤结束时,您的文件应该已被解密。
如果您勾选了备份选项,您将看到加密文件和解密文件。您还可以在%temp%\BDRemovalTool文件夹中找到一个描述解密过程的日志。
要摆脱您剩余的加密文件,只需搜索匹配该扩展名的文件并进行批量删除。我们不建议您这样做,除非您再三确认您的文件可以安全打开,并且没有任何损坏的痕迹。
在某些情况下,勒索软件可能会错误地加密文件,导致解密无法正常工作,我们建议您在使用解密工具之前备份您的文件,如果您还没有从解密工具中勾选“备份文件”选项的话。
静默执行(通过 cmdline)
该工具还提供了通过命令行静默运行的可能性。如果需要在大型网络内自动部署该工具,则可能需要使用此功能。
• -help - 将提供如何静默运行工具的信息(这些信息将写入日志文件,而不是在控制台上显示)。
• start - 这个参数允许工具静默运行(无图形用户界面)。
• -path - 这个参数指定了要扫描的路径。
• -test - 这个参数指定了测试路径,其中应该有一对原始文件/加密文件
• o0:1 - 将启用“扫描整个系统”选项(忽略-path参数)
• o1:1 - 将启用“备份文件”选项
• o2:1 - 将启用“覆盖现有文件”选项
例子:
BDGoGoogleDecryptor.exe start -path:”C:\” ->该工具将在没有 GUI 的情况下启动并扫描 C:\
BDGoGoogleDecryptor.exe start o0:1->该工具将在没有 GUI 的情况下启动并扫描整个系统
BDGoGoogleDecryptor.exe start o0:1 o1:1 o2:1->该工具将扫描整个系统,备份加密文件并覆盖现有的干净文件
