Solidbit恢复工具
1. 前言
SolidBit勒索病毒是一种新兴的加密勒索软件,其活动始于近年来的网络攻击潮中。该病毒主要针对个人用户和小型企业,通过加密关键文件实施勒索。SolidBit通常借助钓鱼邮件、恶意软件分发平台或伪装为合法应用的方式传播。一旦感染目标设备,SolidBit会迅速锁定文件并通过勒索信要求支付赎金,以加密货币为主要支付手段。相比传统勒索软件,SolidBit在加密强度、传播方式及威胁策略上表现出了较高的复杂性,成为近年来勒索病毒家族中的显著代表。
2. 特征
SolidBit感染系统后,会立即对受害者设备中的重要文件进行加密,文件被添加特定的后缀(如“.solidbit”),以此标记加密内容,提醒受害者数据已被锁定。加密的目标通常包括常见的文档、照片、视频以及其他工作和个人数据文件。受害者发现这些文件无法正常打开时,便会受到进一步的心理冲击。
同时,SolidBit会在感染系统中生成一封勒索信,通常以文本文件(如“README_SOLIDBIT.txt”)的形式存在于桌面和被加密文件所在的目录中。勒索信内容通常详细说明文件已被加密,要求支付特定金额的赎金,并通过比特币或其他加密货币支付,以换取解密密钥。为了增加可信度,勒索信中可能包含攻击者的电子邮件地址或即时通讯联系方式,以供受害者在支付后获取解密工具。
此外,SolidBit可能会修改受害者的桌面背景,展示醒目的警告信息,敦促受害者尽快支付赎金。部分版本的SolidBit还具备逃避检测的能力,如终止某些安全软件进程或加密前扫描环境以规避虚拟机和沙箱检测。这种技术手段表明SolidBit具有一定的防御对抗能力,增加了应急响应的难度。作为一种不断发展的勒索病毒,SolidBit展示了勒索软件家族的新兴威胁,为用户和企业敲响了警钟
3. 工具使用说明
3.1 准备
1. 执行全盘备份
在运行解密器之前,请对整个驱动器进行完整备份。
勒索软件会删除大文件,而这些文件可能可以通过文件恢复工具进行恢复。因此,保留驱动器上的可用空间非常重要。
2. 移除勒索软件持久性
勒索软件会创建各种类型的持久性,具体取决于压力和配置。持久性技术包括启动文件夹项、计划任务、系统服务和自动运行注册表键。您必须手动删除系统上的任何持久性。否则将导致您的系统再次被加密。
一般来说,解密器软件并不能取代适当的取证调查的需要。我们敦促您执行遏制、取证调查和补救活动,以保护您的环境免受进一步损害。
3. 停止勒索软件进程
在运行解密器之前,您必须确保勒索软件进程不再运行。
4. 磁盘空间和权限
解密软件需要具有对您想要解密的文件/文件夹的读写权限。解密器将为每个加密文件创建一个新的解密文件,因此我们建议目标卷上至少有50%的可用磁盘空间。
5. 获取解密软件
请在此网站下载解密软件。
或者,您可以从源构建解密器。有关进一步说明,请参阅 Github 存储库中的自述文件。
3.2 运行解密器
解密器是一个向导样式的应用程序。在向导中导航,并按照应用程序中的说明恢复文件。
请注意,解密将需要几个小时。在解密完成之前,请勿关闭计算机。
3.2.1 设置
- 解压缩 zip 存档并运行setup.exe文件。
- 安装程序未签名,因此系统将提示您以下警告。单击“安装”以继续。
- 设置完成后,将会显示欢迎页面,如下图所示。
3.2.2 许可协议
请仔细阅读许可协议。您必须接受本协议才能使用此软件。
3.2.3 设置
1. 文件设置
递归解析子目录 – 选中复选框以递归方式解析目标文件夹的子文件夹(在向导的下一页上选中)。如果未选中该复选框,则将跳过子目录。
加密文件的文件扩展名 – 定义勒索软件附加到加密文件的扩展名。
2. 解密器设置
解密器 – 选择加密了您想要解密文件的病毒种类。如果您不知道自己受到了哪种病毒的影响,请点击“帮我识别”按钮。
3. 数据库设置
Solidbit 不需要任何数据库文件。请将此部分留空。
3.2.4 选择需要解密的文件
通过单击“添加文件夹”按钮选择包含要解密的文件的文件夹。
3.2.5 运行解密器
请注意,解密将需要几个小时。在解密过程完成之前,请勿关闭计算机。
3.2.6 验证和清理
解密完成后,您的文件应该已经被解密,使得您将能够再次访问它们。
请注意,解密器不会删除任何加密文件。在某些情况下,解密的文件将无效。在删除加密文件之前,请手动确认每个解密的文件都是有效的。
