什么是 CryptoTorLocker 勒索软件?
CryptoTorLocker,也被称为 CryptoTorLocker2015, 是最近的 勒索 程序。 更具体地说,它是 CryptoLocker 勒索软件。 尽管有这个名字,但它是今年(2023 年)制造的,而不是 2015 年制造的。
大多数现代病毒的存在都是为了让黑客发财。 归类为勒索软件的病毒采用特定策略来实现此目的:它们对受害者计算机上的文件进行加密,并要求支付解密费用。 这些病毒重命名加密文件的情况也很常见; 在这种情况下,他们被赋予“.CryptoTorLocker2015!” 文件扩展名。
为了与受害者通信,CryptoTorLocker 打开两个弹出窗口并创建一个名为“HOW TO DECRYPT FILES.txt”的赎金票据,所有这些都包含大致相同的文本(您可以在上图中阅读)。 这张便条的书写方式不连贯,这表明它是由非英语母语的人写的。
不幸的是,笔记中最糟糕的部分不是语法错误。 黑客要求 0.5 BTC 来解密文件。 截至撰写本文之日,0.5 BTC 约等于 12,000 美元(单击此处获取最新的转换).
很少有人愿意支付这笔钱。 因此,探索删除 CryptoTorLocker 勒索软件和解密 .CryptoTorLocker2015 的替代方法非常有意义! 文件。 下面的指南可以帮助您。
如何删除 CryptoTorLocker 勒索软件
如果您有加密文件的有效备份,或者您不打算尝试恢复丢失的文件,请使用一个或多个防病毒和反恶意软件程序扫描您的计算机,或者完全重新安装操作系统。
替代防病毒软件:
的Malwarebytes (视窗)
如何恢复被 CryptoTorLocker 勒索软件加密的文件
如果您想恢复被勒索软件加密的文件,您可以尝试解密它们或使用文件恢复方法。
解密文件的方法:
- 联系勒索软件作者, 支付赎金 并可能从他们那里获得解密器。 这是不可靠的:他们可能根本不会向您发送解密器,或者可能做得不好并且无法解密您的文件。
- 等待安全研究人员在勒索软件中找到一些漏洞 这将允许您无需付费即可解密文件。 这种事件的转变是可能的,但可能性不大:在数千种已知的勒索软件变体中,只有几十种可以免费解密。 你可以拜访 NoMoreRansom 不时访问该站点以查看是否存在 CryptoTorLocker 的免费解密器。
- 使用付费服务进行解密.
恢复加密文件的其他方法:
- 从备份中恢复。 如果您定期备份到单独的设备并不时检查这些设备是否正常工作并且文件可以成功恢复 - 那么,您可能不会遇到任何问题来恢复您的文件。 只需使用几个 AV 和反恶意软件程序扫描您的计算机或重新安装操作系统,然后从备份中恢复。
- 从云存储中恢复一些文件 (DropBox、Google Drive、OneDrive 等)如果您已连接。 即使加密文件已经同步到云端,许多云服务仍会将更改文件的旧版本保留一段时间(通常为 30 天)。
- 恢复文件的卷影副本 如果这些可用 - 勒索软件通常也会尝试删除它们。 卷影复制服务 (VSS) 是一种 Windows 技术,可定期创建文件快照,并允许您回滚对这些文件所做的更改或恢复已删除的文件。 VSS 与系统还原一起启用:它在 Windows XP 到 Windows 8 上默认打开,在 Windows 10 上默认禁用。
- 使用文件恢复软件。 这可能不适用于固态驱动器(SSD – 一种更新、更快和更昂贵的数据存储设备),但如果您将数据存储在硬盘驱动器(HDD – 一种较旧的存储类型)上,则值得一试通常具有更大容量的设备)。 当您从计算机中删除文件时——我的意思是完全删除:使用 Shift + Del 或清空 SSD 上的回收站——它会立即从驱动器中擦除。 然而,在 HDD 上,它被标记为已删除,并且它在硬盘驱动器上占据的空间 - 可用于写入,但数据仍然存在并且通常可以通过特殊软件恢复。 但是,您使用计算机的次数越多,尤其是当您在硬盘驱动器上写入新数据时,您删除的文件就越有可能被覆盖并永远消失。 这就是为什么在本指南中我们将尝试恢复已删除的文件(如您所知,勒索软件会创建文件的加密副本并删除原始文件),而无需在磁盘上安装任何内容。 只知道这可能还不足以成功恢复您的文件——毕竟,当勒索软件创建加密文件时,它会在磁盘上写入新信息,可能是在刚刚删除的文件之上。 这实际上取决于硬盘驱动器上有多少可用空间:可用空间越多,新数据覆盖旧数据的可能性就越小。
- 这可能会使您的保修失效。
- 用笔记本电脑做起来比较困难,在将硬盘驱动器连接到另一台机器之前,您需要一个特殊的外壳(磁盘盒)来放入硬盘驱动器。
- 如果您在使用 AV 扫描驱动器并删除所有发现的恶意软件之前打开受感染驱动器中的文件,则可能感染另一台计算机; 或者如果所有 AV 都无法找到并删除恶意软件。
- 重新启动计算机。
- 一旦你看到启动屏幕点击 F8 键,直到出现选项列表。
- 使用箭头键,选择 带网络连接的安全模式.
- 媒体 输入.
- 按住 Windows 键
并击中 X 键。 - 选择 关机或退出.
- 媒体 转移 键,然后单击 重新启动.
- 当要求选择一个选项时,单击 高级选项 => 启动设置.
- 点击 重新启动 在右下角。
- 在 Windows 重新启动并为您提供选项列表后,按 F5 选择 通过网络启用安全模式.
- 启动影子资源管理器。
- 在窗口的左上角,您可以选择磁盘(C:\、D:\ 等)和拍摄文件快照的日期。
- 要恢复文件或文件夹,请右键单击它并选择“导出”。
- 选择您想要放置文件的位置。
更进一步,我们需要 1) 阻止勒索软件对我们恢复的文件进行加密,如果恶意软件仍然处于活动状态; 2) 尽量不要覆盖被勒索软件删除的文件。 最好的方法是断开硬盘驱动器并将其连接到另一台计算机。 您将能够浏览所有文件夹、使用防病毒程序对其进行扫描、使用文件恢复软件或从卷影副本中恢复数据。 尽管最好事先下载您需要的所有工具,并在连接受感染的硬盘驱动器之前断开计算机与 Internet 的连接,但为了安全起见。
此方法的缺点:
另一种更简单的方法是加载到安全模式并从那里执行所有文件恢复措施。 但是,这将意味着使用硬盘驱动器并可能覆盖一些数据。 在这种情况下,最好只使用便携式版本的恢复软件(那些不需要安装的),将它们下载到外部设备上,并将所有恢复的文件也保存到外部设备上(外部硬盘驱动器、拇指驱动器、CD 、DVD 等)。
启动进入安全模式:
Windows XP中 Windows Vista中, Windows的7:
Windows XP中 
Windows Vista中, 
Windows的7: 的Windows 8, 的Windows 8.1, Windows的10:
的Windows 8, 
的Windows 8.1, 
Windows的10:
并击中 X 键。备份您的加密文件
始终建议创建加密文件的副本并将其收起。 如果将来可以使用免费的勒索软件解密器,或者如果您决定付费购买解密器但出现问题并且文件在解密过程中遭到不可挽回的损坏,这可能会对您有所帮助。
使用文件恢复工具恢复文件
截图:
关于恒星数据恢复
R-取消删除
如何使用 R-Undelete 恢复已删除的文件
从卷影副本中恢复加密文件。
访问卷影副本的最简单方法是使用名为 影浏览器. 只需下载最新版本并安装(或下载便携式版本)。
未来如何预防勒索软件感染
垃圾邮件中的附件是勒索软件最终进入用户计算机的最常见方式之一。 MailWasher 过滤垃圾邮件并允许您在服务器上预览电子邮件,而无需将它们下载到您的计算机上。 MailWasher 具有可自定义的垃圾邮件过滤器,使用贝叶斯过滤器并适用于所有主要的电子邮件程序:Outlook、Outlook Express、Thunderbird、GMail 等。
删除 CryptoTorLocker 勒索软件
现在您已经恢复了文件或至少将仍然加密的文件存储在外部设备上,是时候使用 AV 和反恶意软件扫描您的计算机,或者更好的是,重新安装操作系统,以完全删除 CryptoTorLocker 勒索软件并消除任何可能的痕迹。 请记住,在将文件放回计算机之前还要扫描您的外部设备!