1.前言

  Lamer 勒索病毒是一种较为原始且简单的加密勒索软件，通常由初学者或低技术水平的攻击者开发。该病毒通常通过钓鱼邮件、恶意附件、或伪装成免费软件等方式传播。Lamer 勒索病毒的加密技术较为简单，但它依然通过强加密手段，要求受害者支付赎金才能恢复文件访问。虽然它的传播范围相对较小，通常针对个人用户和小型企业，但由于其低门槛的特性，Lamer 勒索病毒经常被用于教育、演示和基础攻击的测试。尽管如此，Lamer 勒索病毒的影响仍然严重，特别是对于没有有效防护或备份措施的用户。

2.特征

  Lamer 勒索病毒感染系统后，会扫描计算机中的多种常见文件类型，如文档、图片、音频和视频等，并使用简单的加密算法（如 XOR 或 RC4）对这些文件进行加密。加密完成后，文件会被附加特定后缀（如“.lamer”或其他简单标识），使得文件无法被正常打开。病毒会在受感染的文件夹中生成一份勒索信，通常命名为“READ_ME.txt”或“HOW_TO_RECOVER.txt”，其中包含详细的赎金支付要求，并提供比特币地址或其他加密货币支付方式，要求受害者支付赎金以换取解密密钥。

  Lamer 勒索病毒主要通过电子邮件附件传播，这些邮件通常伪装成重要通知或看似合法的文件，诱使受害者点击恶意附件或链接。一旦恶意附件被执行，病毒便会开始加密文件。该病毒没有复杂的反病毒绕过功能，因此比较容易被传统的反病毒软件检测到，但其简单的传播方式和加密能力仍然会给受害者造成影响。

  与其他更先进的勒索病毒相比，Lamer 勒索病毒的加密过程较为简单，不具备高级的反检测机制，但它仍能通过快速加密和简单的勒索策略对没有数据备份的用户造成较大损失。尽管其影响范围较小，但它的存在提醒了用户加强安全意识，避免打开可疑邮件附件，并定期备份重要文件。

3.工具使用说明

  重要提示！ 在进行数据恢复操作前，请确保先从您的系统中移除恶意软件，否则它会不断地锁定您的系统或加密文件。任何可靠的杀毒软件都可以帮助您完成这一步。

  注意：Rakhni 会创建名为 exit.hhr.oshit 的文件，该文件包含用户文件的加密密码。如果该文件仍然保留在计算机中，使用 RakhniDecryptor 工具进行数据恢复时会更快。如果该文件已经被删除，可以使用文件恢复工具恢复该文件。恢复后，将其放入 %APPDATA% 文件夹中，然后再次使用该工具进行扫描。exit.hhr.oshit 文件的路径如下：

  Windows XP：C:\Documents and Settings<用户名>\Application Data

  Windows 7/8：C:\Users<用户名>\AppData\Roaming

  1.下载 RakhniDecryptor.exe 文件。下载文件的详细步骤请参见以下说明：

• Windows 8 用户
• Windows 7 用户
• Windows Vista 用户

  2.在感染了勒索软件的计算机上运行 RakhniDecryptor.exe 文件。

  3.在 Kaspersky RakhniDecryptor 窗口中，点击 更改参数 链接。

  4.在设置窗口中，选择需要扫描的对象（硬盘 / 可移动驱动器 / 网络驱动器）。

  5.勾选 数据恢复后删除加密文件 选项（该工具将删除扩展名为 .locked、.kraken 和 .darkness 的原始文件副本）。

  6.点击 确定。

  7.在 Kaspersky RakhniDecryptor 中，点击 开始扫描 按钮。

  8.在 指定加密文件的路径 窗口中，选择您需要恢复的文件，然后点击 打开。

  9.工具将开始恢复密码。请注意 警告！ 窗口中的提示信息。

  10.等待工具完成数据恢复（请不要退出程序或关机）。