1.前言

  Ims00rry 勒索病毒是一种较为新型的加密勒索软件，首次出现于 2020 年左右。该病毒通常通过钓鱼邮件、恶意广告和漏洞利用工具包进行传播，目标多为中小型企业以及个人用户。Ims00rry 的特点是其相对简单但有效的加密机制，能够快速加密大量文件并附加特定后缀。病毒的主要目的是勒索受害者支付比特币或其他加密货币作为赎金，以换取解密密钥。它的传播方式迅速且隐蔽，利用社会工程学手段诱使受害者执行恶意附件，导致数据被加密。Ims00rry 还结合了反分析技术，增加了检测与清除的难度。

2.特征

  Ims00rry 勒索病毒感染系统后，会扫描并加密包括文档、图片、数据库、音视频文件在内的多种文件类型。加密后的文件会附加特定的后缀，如“.ims00rry”，以标明文件已被锁定，无法打开。加密完成后，病毒会在受感染目录中生成一份勒索信，通常命名为“HOW_TO_DECRYPT.txt”或类似文件，勒索信详细列出了支付赎金的方式和比特币地址，并威胁称如果赎金未在指定时间内支付，文件将被永久删除或无法恢复。

该病毒主要通过电子邮件附件传播，邮件通常伪装成合法的通知或重要文件，诱使用户打开附件。一旦恶意附件被执行，Ims00rry 会立刻开始加密系统中的文件，并禁用防病毒软件和系统恢复功能，以阻止受害者恢复数据。病毒的传播速度较快，能够通过漏洞在网络中横向传播，从而感染更多的系统。它还会尝试删除系统备份文件，增加恢复的难度。

Ims00rry 勒索病毒还具备一定的反检测功能，可以规避传统的防病毒软件。它通过加密、混淆技术和代码隐藏，避免了被沙箱环境和安全分析工具发现。部分版本的 Ims00rry 还包含了数据窃取功能，会窃取受害者的敏感数据，并威胁公开，以增加受害者支付赎金的压力。

总体来看，Ims00rry 勒索病毒通过高效的加密手段、利用社会工程学攻击进行传播，以及其反检测能力，对目标系统和数据造成了严重威胁。为防范此类勒索病毒，用户应提高对钓鱼邮件的警惕、避免点击不明附件，并定期备份关键数据。

3.工具使用说明

  重要提示： 在使用Emsisoft解密工具之前，请务必先将恶意软件从系统中隔离，否则它可能会反复锁定您的系统或加密文件。如果当前的杀毒软件未能检测到恶意软件，您可以使用Emsisoft Anti-Malware的免费试用版进行隔离。如果您的系统是通过Windows远程桌面功能受到感染，我们还建议您更改所有允许远程登录的用户密码，并检查本地用户账户，查看攻击者是否添加了其他账户。

如何解密您的文件

  1.从提供本“操作指南”文档的网站下载解密工具。

  2.以管理员身份运行解密工具。系统将显示许可条款，您需要点击“是”按钮以同意这些条款。

  3.一旦接受了许可条款，解密工具的主界面将会打开：

  4.默认情况下，解密工具会自动填充当前连接的驱动器和网络驱动器的位置，以便解密。您可以通过点击“添加”按钮来添加额外的位置。

  5.解密工具通常会根据不同的恶意软件家族提供多种选项。这些选项位于“选项”标签页中，您可以在此启用或禁用相关选项。下方列出了可用选项的详细列表。

  6.添加完所有您想要解密的位置后，点击“解密”按钮开始解密过程。屏幕将切换到状态视图，向您显示当前的解密进度和文件状态。

  7.解密完成后，解密工具会通知您。如果您需要保存报告以供个人记录，您可以点击“保存日志”按钮将其保存。您也可以直接将日志复制到剪贴板，方便粘贴到电子邮件或论坛帖子中，若有人要求查看。

可用的解密工具选项

  当前解密工具提供以下选项：

• 保留加密文件 由于勒索病毒不会保存有关未加密文件的任何信息，解密工具无法保证解密后的数据与之前加密的数据完全相同。因此，默认情况下，解密工具会选择保留加密文件，不在解密后删除。如果您希望解密完成后自动删除加密文件，可以禁用此选项。这在磁盘空间有限的情况下可能是必要的。