1. 前言

   CoinVault勒索软件首次出现于2014年，是由两名荷兰兄弟开发并传播的。这款勒索软件因其独特的特点而广为人知，其中包括允许受害者免费解密一个文件，以此来诱使他们支付赎金。CoinVault在运行期间迅速传播，影响了全球数千名受害者。尽管其影响范围不像一些其他著名的勒索软件家族（如CryptoLocker和CTB-Locker）那么广泛，CoinVault依然通过复杂的技术和心理手段，使受害者陷入困境。最终，安全研究人员与荷兰警方合作，通过分析其源代码和服务器，成功抓获了幕后黑手，并发布了解密工具，帮助受害者恢复数据。

2. 特征

  感染CoinVault勒索软件后，受害者的文件会被加密，并在文件名后附加扩展名，如“._clf”。该勒索软件还会在受感染的系统中生成一个勒索信，通常要求支付1比特币（约合200欧元）作为解密费用。勒索信的设计带有计时器，随着时间的推移，赎金金额会逐渐增加，进一步加大了受害者支付赎金的压力。此外，CoinVault具有一定的反分析功能，能够检测其是否在沙箱环境中运行，并通过代码混淆来避免被轻易分析

3. 工具使用说明

重要！确保首先从系统中删除恶意软件，否则它会反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以为您做到这一点。

1. 下载CoinVaultDecryptor.zip压缩文件，并使用文件解压缩工具（例如7zip）提取文件。
2. 双击CoinVaultDecryptor.exe文件。
3. 点击应用程序主屏幕上的“开始扫描”按钮。

4. 弹出“文件选择”对话框。您应该找到名为“filelist.cvlst”的文件，这通常是在CoinVault感染后留下的。
5. 单击“打开”。
6. 如果您在系统中找不到“filelist.cvlst”文件，那么您需要将所有加密文件放在一个文件夹中以便解密它们。该工具会假设文件夹中的每个文件都是加密的，并将尝试解密所有文件。
7. 要在这种模式下操作，您需要在应用程序的主屏幕上点击“更改参数”按钮，并选择“包含加密文件的文件夹”选项。
8. Kaspersky CoinVaultDecryptor找到一个适合的加密文件用于密钥搜索，尝试每一个CoinVault密钥，直到找到您的个人密钥，然后解密所提供的所有文件。
9. 默认情况下，应用程序通过在文件名中添加“decryptedKLR”来重命名解密后的文件：Somefile.doc -> Somefile.decryptedKLR.doc。 10 这是针对不当文件处理的额外保障措施。如果您有额外的备份副本，并且不想手动重命名您的文件，在“更改参数”下有一个额外的参数：“用解密文件替换加密文件”。如果您选择此选项，加密文件将以其原始名称解密。