如何清除CoinVault勒索软件并恢复文件

在多数情况下，一旦你不幸成为勒索软件的受害人，对此可以说是完全束手无策。但幸运的是，警察和网络安全公司时常会采取联合行动，关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用，因为其有助于编写解密工具并恢复用户的文件。最近，德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容，可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话，在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话，请参阅以下操作步骤。 第一步：确定自己的计算机是否真的感染了CoinVault勒索软件。 首先，确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单：如果你的计算机被CoinVault感染的话，你将能看到如下图片： 第二步：获取比特币钱包地址 在CoinVault勒索软件界面的右下角，你将能看到比特币钱包地址（上图中用黑圈标记的地方）。复制并保存这个地址非常重要！ 第三步：获取加密文件清单 在该恶意软件窗口的左上角，你将能看到’查看加密文件清单’按钮（上图中用蓝圈标记的地方）。点击这个按钮并保存为一个文件。 第四步：清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后，该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步：访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知，则IV（初始化向量）和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV，后面你将需要用到。 第六步：下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息（如下图所示），进行第七步操作。如果没有错误消息，则跳过第七步直接进行第八步操作。 第七步：下载并安装另外的libraries（库） 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步：打开解密工具 打开该工具后你将能看到以下窗口： 第九步：测试解密程序是否运行正常 在首次运行该工具时，我们强烈建议您对解密程序进行测试。具体操作步序如下： 在”单文件解密”框内点击”选择文件”按钮，并选择你想解密的一个文件； 将来自网页的IV输入到IV框内； 将来自网页的密钥输入到IV框内； 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步：解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话，则能立即恢复你的所有文件。选择从第三步中所获取的文件清单，输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话，这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况，我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话，可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话，应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中，我们将不断实时添加新的密钥。