1. 前言

  ZQ 勒索病毒是一种以加密文件和勒索赎金为目的的恶意软件，首次在2019年左右被发现。它主要通过网络钓鱼邮件和恶意附件传播，针对个人和企业用户，尤其是高价值目标。ZQ 勒索病毒以其迅速加密文件并要求比特币赎金为特征，且病毒通常在加密文件后附加特定后缀，使受害者无法轻易恢复文件。与其他勒索病毒类似，ZQ 还会通过威胁公开数据或删除文件的方式施压受害者支付赎金。此外，ZQ 勒索病毒也结合了反分析技术，使得它更加难以被安全防护软件或沙箱检测到。

2. 特征

  ZQ 勒索病毒感染后，会迅速扫描受害者的系统并加密各种类型的文件，包括文档、表格、图像、音视频文件等。加密后的文件会被附加特定后缀（如“.ZQ”），以表示文件已经被加密，并且无法通过常规方式打开。受害者的文件加密后，病毒会在感染的文件夹中生成勒索信，通常为一个文本文件，命名为“README.txt”或“HELP_DECRYPT.txt”，内容包含勒索信息，要求支付比特币赎金来获取解密密钥。

  ZQ 勒索病毒通过钓鱼邮件传播，邮件通常伪装成重要通知或账单提醒，诱使用户点击恶意附件或链接。一旦受害者执行恶意文件，病毒就开始在系统中加密文件，并会尝试禁用防病毒软件和关闭系统备份，以确保数据无法恢复。除了文件加密，ZQ 勒索病毒还可能威胁公开受害者的数据，增加受害者的心理压力。

  该病毒具有一定的反沙箱和反虚拟机能力，能够识别分析环境并避免触发防护机制，使其更难被早期发现。XORIST 勒索病毒的传播方式较为低调，通过高仿真钓鱼邮件等社会工程学手段提升感染率，并针对特定目标进行定向攻击，通常以提高赎金回报为目的进行有针对性的传播。

3. 工具使用说明

  重要提示：确保首先从系统中删除恶意软件。否则，它将反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以为您做到这一点。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能已添加的其他帐户。

  文件解密步骤：

1. 从提供此“操作方法”文档的同一站点下载解密器。
2. 以管理员身份运行解密器。显示许可条款后，单击“是”按钮同意。
3. 接受条款后，使用“浏览”按钮选择您的文件对。然后，单击“开始”按钮。
4. 恢复过程完成后，解密器将显示重建的加密详细信息。该显示仅供参考，以确认已找到所需的加密详细信息：
5. 找到密钥后，单击“确定”以打开主解密器用户界面：
6. 默认情况下，解密器将在解密的位置预填充当前连接的驱动器和网络驱动器。可以使用“添加”按钮添加其他位置。此外，对象列表接受通过拖放添加的文件和位置。
7. 解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中，可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。
8. 将要解密的所有位置添加到列表中后，单击“解密”按钮开始解密过程。屏幕将切换到状态视图，通知您文件的当前进程和解密状态：
9. 解密器将在解密过程完成后通知您；如果您需要报告作为个人记录，可以点击“保存日志”按钮进行保存。如果需要，您也可以将其直接复制到剪贴板，以粘贴到电子邮件或论坛帖子中。

  可用的解密器选项：

• 保留加密文件：由于勒索软件不会保存有关未加密文件的信息，解密器无法保证解密的数据与之前加密的数据相同。因此，默认情况下，解密器将保留加密文件。如果您希望在解密后删除加密文件，则可以禁用此选项。如果磁盘空间有限，则可能需要考虑这一点。
• 允许对大文件进行部分解密：由于技术限制，此解密器可能无法解密大于您提供的文件对的文件。如果启用此选项，则只会解密文件的第一部分，其余部分可能会保持加密状态。对于某些文件格式，这可能仍然允许一些恢复，但其他文件格式仍将受到恶意软件的损害。