前言

2022年1月，一些NAS（网络附加存储）用户在他们的系统上发现了扩展名为.deadbolt的加密文件。大约在这个时候，Bleeping Computer发表了一则关于3600个设备也受到影响的新闻。从那时起，关于涉及DeadBolt系列勒索软件的NAS设备攻击的报告经常出现。DeadBolt勒索软件团伙声称其成员利用了NAS软件的零日漏洞，每一个新检测到的漏洞往往与一系列新的攻击有关。

2022年6月中旬，NAS设备制造商QNAP检测到一系列DeadBolt攻击，目标是运行QTS 4.2.x、4.3.x和4.4.x的企业NAS设备。

2022年2月，各种版本的DeadBolt勒索软件被用于攻击属于ASUSTOR的NAS设备。

2022年9月初，QNAP发布了另一个关于以DeadBolt勒索软件为特征的攻击的安全警报（CVE-2022-27593）。

特征

Trojan/Win32.DeadBolt会尝试禁用或绕过已安装的杀毒软件。

它可能会修改系统文件和注册表项，以隐藏自身并保持持久性。

该病毒可以窃取用户的个人隐私信息，如用户名、密码、银行账号等。

Trojan/Win32.DeadBolt可能会下载并安装其他恶意软件，进一步危害用户的计算机系统。

它可以通过远程控制命令纵被感染的计算机，例如进行DDoS攻击、挖矿等。

该病毒有可能通过网络传播，并感染其他计算机系统。

工具使用说明

如何使用 DeadBolt 的 Emsisoft 解密器

重要！请务必先从您的系统中隔离恶意软件，否则它可能会反复锁定您的系统或加密文件。如果您当前的防病毒解决方案无法检测到恶意软件，则可以使用 Emsisoft Anti-Malware 的免费试用版对其进行隔离。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议您更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能添加了其他帐户。

该解密器需要犯罪分子在支付赎金后提供的 32 个字符的密钥。

该密钥作为 BTC 交易的一部分在 OP_RETURN 代码中返回。

如何解密您的文件

1.从提供此“作方法”文档的同一站点下载解密器。

2.以管理员身份运行解密器。接下来将显示许可条款，您必须通过单击“是”按钮来同意：

3.接受条款后，在出现提示时输入您的 32 个字符的密钥。

4.输入密钥后，单击“确定”以打开主解密器用户界面：

5.默认情况下，解密器将使用当前连接的驱动器和网络驱动器预先填充要解密的位置。可以使用“添加”按钮添加其他位置。

6.解密器通常根据特定的恶意软件家族提供各种选项。可用选项位于 Options 选项卡中，可以在其中启用或禁用。您可以在下面找到可用选项的详细列表。

7. 将所有要解密的位置添加到列表中后，单击“解密”按钮开始解密过程。屏幕将切换到状态视图，通知您 文件的当前进程和解密状态：

8.解密器会在解密过程完成后通知您。如果您需要将报告用于您的个人记录，您可以通过单击“保存日志”按钮来保存它。您也可以将其直接复制到剪贴板，以便在需要时将其粘贴到电子邮件或论坛帖子中。