1.前言

  Marlboro 勒索病毒是一种短命但具有代表性的加密型勒索软件，首次出现在 2017 年 1 月。该病毒通过垃圾邮件传播，邮件中包含恶意的 Word 文档附件，用户一旦打开，便会下载并执行勒索程序。Marlboro 的开发者采用了 C++ 编写，并针对 32 位和 64 位系统分别构建了安装程序，这是勒索软件中较为少见的做法 。尽管其加密方法相对简单，但由于存在加密漏洞，安全研究人员在病毒出现不到 24 小时内便开发出了解密工具，有效遏制了其传播 。

2.特征

  Marlboro 勒索病毒感染系统后，会使用简单的 XOR 加密算法对用户的文件进行加密，并将加密后的文件重命名，添加“.oops”扩展名，例如“document.docx”会变为“document.docx.oops”。加密完成后，病毒会在每个受影响的文件夹中生成名为“HELP_Recover_Files.html”的勒索信，告知受害者其文件已被加密，并要求支付赎金以获取解密密钥 。

  值得注意的是，由于 Marlboro 的加密实现存在缺陷，在加密过程中可能会截断文件的最后几个字节，导致部分文件即使解密后也无法完全恢复 。此外，病毒的传播方式主要依赖于垃圾邮件中的恶意附件，用户在打开这些附件时，病毒便会被下载并执行。

  尽管 Marlboro 的加密方法相对简单，但其传播速度和影响力仍不容小觑。幸运的是，安全研究人员迅速分析了其源代码，并开发出免费的解密工具，帮助受害者恢复了被加密的文件 。这一事件也再次提醒用户，保持警惕、避免打开不明邮件附件，并定期备份重要数据，是防范勒索软件攻击的有效措施。

3.工具使用说明

  重要提示！请确保先从系统中移除恶意软件，否则它会反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以为您完成此操作。如果您的系统是通过Windows远程桌面功能遭到入侵，我们还建议更改所有允许远程登录用户的密码，并检查本地用户账户是否存在攻击者可能添加的额外账户。

  1.从提供本文档的网站下载 Emsisoft 数据恢复工具。

  2.下载完成后，选中已准备好的文件对，将其拖拽到数据恢复工具的可执行程序图标上。

  3.松开鼠标后，工具会开始重建所需的加密参数。根据不同勒索软件家族，该过程可能需要较长时间。

  4.工具将在恢复完成后显示重建出的加密参数。该信息仅供确认，无需额外操作。

  5.接着会弹出许可协议，您需要点击“是”以接受条款。

  6.接受许可协议后，工具的主界面将打开。

  7.工具默认会自动添加当前连接的本地磁盘和网络驱动器。您也可以通过“添加”按钮添加其他路径，或者直接将文件或路径拖拽到列表中。

  8.工具会根据不同勒索软件家族提供相应选项。您可以在“选项”标签页中查看并启用/禁用这些选项（见下文详细介绍）。

  9.添加完所有需要恢复的路径后，点击“恢复”按钮，数据恢复过程开始。界面会切换至状态视图，显示当前恢复进度及状态。

![](https://solar-www.oss-cn-qingdao.aliyuncs.com/mdeditor%2F20250516%2F4661626f2a4b4daca2fc164a23a5f5d8.png)   10.数据恢复完成后，工具会提示操作已完成。如需保存恢复报告，可点击“保存日志”按钮保存。您也可以复制到剪贴板，以便粘贴到邮件或论坛帖子中。

‘’ ‘’### 可用的恢复工具选项

  当前数据恢复工具支持以下选项：

• 保留加密文件 由于勒索软件不会保存未加密文件的任何信息，数据恢复工具无法保证解密后的数据与之前加密的数据完全一致。因此，恢复工具默认出于谨慎考虑，在恢复完成后不会删除任何加密文件。如果您希望恢复工具在处理完加密文件后将其删除，可以禁用此选项。如果您的磁盘空间有限，可能需要禁用该选项。