前言

Cry9 是 CryptON 勒索软件家族的继任者，主要用于通过 RDP 进行定向攻击。文件使用自定义版本的 AES、RSA 和 SHA-512 进行加密。

特征

Cry9 主要用于通过 RDP 进行定向攻击。文件使用自定义版本的 AES、RSA 和 SHA-512 进行加密。由于 Cry9 不包含扩展名列表，因此它将加密机器上的所有文件类型。但是，它确实从加密作中排除了 C：Windows、C：Program Files 和用户配置文件文件夹，因此启动作和其他关键进程不会受到影响。 Cry9 依赖于 SHA-512 和改进的 AES 版本，该版本适用于 64 字节块，并在 ECB 模式下使用 512 位密钥。

工具使用说明

重要！确保先从系统中删除恶意软件。否则，它将反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以为您做到这一点。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议您更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能添加了其他帐户。 解密器需要访问由一个加密文件和加密文件的原始未加密版本组成的文件对，以重建解密其余数据所需的加密密钥。 请不要更改原始文件和加密文件的文件名，因为解密器可能会执行文件名比较以确定用于系统上加密文件的正确文件扩展名。

如何解密您的文件

1.从提供此“作方法”文档的同一站点下载解密器。

2.下载后，选择您的文件对，然后用鼠标将其拖放到 解密器可执行文件：

3.释放鼠标密钥后，解密器将开始重建所需的加密参数。根据勒索软件的不同，此过程可能需要大量时间：

4.恢复过程完成后，解密器将显示重建的加密详细信息。显示纯粹是信息性的，以确认所需的加密详细信息具有 已找到：

5.接下来将显示许可条款，您必须通过单击“Yes”按钮来同意：

6.接受许可条款后，主解密器用户界面将打开：

7.默认情况下，解密器将使用当前连接的驱动器和网络驱动器预先填充要解密的位置。可以使用 “Add” 按钮添加其他地点。此外，对象列表接受通过拖放添加的文件和位置。

8.解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于 Options 选项卡中，可以在其中启用或禁用。您可以在下面找到可用选项的详细列表。

9.将所有要解密的位置添加到列表后，单击“解密”开始解密过程。屏幕将切换到状态视图，通知您当前的文件的处理和解密状态：

10.解密过程完成后，解密器会通知您：

如果您需要将报告用于您的个人记录，您可以通过单击“保存日志”按钮来保存它。您也可以将其直接复制到剪贴板，以便在需要时将其粘贴到电子邮件或论坛帖子中。

可用的解密器选项

解密器当前实现以下选项：

保留加密文件

由于勒索软件不会保存有关未加密文件的任何信息，因此解密器无法保证解密的数据与之前加密的数据相同。因此，默认情况下，解密器会谨慎选择，并且在解密后不会删除任何加密文件。如果您希望解密器在处理完任何加密文件后将其删除，您可以禁用此选项。如果您的磁盘空间有限，则可能需要这样做。