1.前言

   Iwanttits 勒索病毒是一种恶意加密软件，最早出现在 2017 年左右，以其粗俗的命名和恶意勒索策略而闻名。该病毒主要通过恶意电子邮件附件、钓鱼链接和漏洞利用工具传播，一旦感染目标系统，就会迅速加密文件并要求支付赎金。Iwanttits 主要针对个人用户和小型企业，通过加密文档、图片、视频等关键数据，使受害者无法访问其重要文件。与许多其他勒索软件类似，该病毒要求通过比特币支付赎金，以换取解密密钥。然而，由于其加密方式较为简单，部分安全研究人员已经成功破解了该病毒，并提供了解密工具。

2.特征

   Iwanttits 勒索病毒感染系统后，会立即扫描本地存储并加密多种类型的文件，包括文档、图片、数据库和视频文件等。加密完成后，受影响的文件会附加特定的后缀，例如“.iwanttits”，表明文件已被锁定，受害者无法通过常规方式打开。与此同时，病毒会在受感染的文件夹中生成勒索信，通常命名为“READ_ME.txt”或“HOW_TO_RECOVER.txt”，其中详细列出了支付赎金的步骤、比特币钱包地址，并威胁受害者若未在规定时间内支付赎金，文件将被永久删除或无法恢复。

该病毒的主要传播方式是通过钓鱼邮件、恶意附件和受感染的网站下载。攻击者通常伪装成合法的邮件或文档，引诱受害者点击恶意链接或打开附件，从而触发病毒执行。一旦病毒成功运行，它会迅速加密文件，并尝试禁用防病毒软件、删除系统备份和恢复点，以防止受害者使用常规手段恢复数据。此外，部分版本的 Iwanttits 可能还具备网络传播能力，能够在同一局域网内扩散，感染更多设备。

尽管 Iwanttits 的加密方式较为简单，一些安全研究人员已成功破解其加密机制，并提供了免费的解密工具。然而，该病毒仍然对未备份数据的用户构成严重威胁。为了防范此类勒索软件，用户应提高网络安全意识，避免打开未知来源的邮件附件和链接，并定期备份关键数据，以防止重要文件被恶意加密和丢失。

3.工具使用说明

重要提示！

   在使用解密工具之前，请务必先将恶意软件从系统中隔离，否则它可能会反复锁定您的系统或加密文件。如果当前的杀毒软件未能检测到该恶意软件，您可以使用 Emsisoft Anti-Malware 的免费试用版进行隔离。

   如果您的系统是通过 Windows 远程桌面（RDP） 受到攻击，我们建议您：

• 更改所有允许远程登录的用户账户密码；
• 检查本地用户账户，确保攻击者未添加额外账户。

如何恢复您的文件

   1.下载恢复工具

• 从提供本“操作指南”文档的同一网站下载恢复工具。

   2.以管理员身份运行恢复工具

• 运行恢复工具后，系统将显示许可条款，您需要点击 “是” 按钮以同意这些条款。

   3.主界面打开

• 接受许可条款后，恢复工具的主界面将会打开。

   4.选择恢复位置

• 默认情况下，恢复工具会自动填充当前连接的驱动器和网络驱动器，以便进行文件恢复。
• 您可以使用 “添加” 按钮手动添加额外的恢复位置。

   5.调整恢复选项

• 恢复工具通常会根据不同的勒索病毒家族提供多种选项。
• 这些选项位于 “选项” 选项卡中，您可以根据需要启用或禁用相应功能（详细选项见下文）。

   6.启动恢复过程

• 添加完所有要恢复的位置后，点击 “恢复” 按钮开始恢复过程。
• 屏幕将切换到状态视图，显示当前恢复进度和文件状态。

   7.完成恢复并保存日志

• 恢复完成后，恢复工具会通知您。
• 如果需要保存恢复日志以供记录，可以点击 “保存日志” 按钮进行保存。
• 也可以直接复制日志到剪贴板，方便粘贴到电子邮件或论坛帖子中（如有需要）。

可用的恢复工具选项

• 保留加密文件（Keep encrypted files） 由于勒索病毒不会保存未加密文件的任何信息，恢复工具无法保证恢复的数据与原始文件完全一致。因此，恢复工具默认 不会删除加密文件，以确保数据安全。
  • 如果您希望恢复完成后自动删除加密文件，可以禁用此选项。
  • 如果您的磁盘空间有限，建议关闭此选项以释放存储空间。