文章总结: 本文介绍了针对NAS设备的DeadBolt勒索病毒特征及其恢复工具。该病毒利用零日漏洞攻击并具备数据窃取与传播能力。文章详述了使用Emsisoft解密器的步骤,强调需先隔离恶意软件,并使用支付赎金后获取的32位密钥进行文件解密,提供了相关工具的获取渠道。 综合评分: 75 文章分类: 恶意软件,应急响应,安全工具
【工具分享】 DeadBolt勒索病毒恢复工具
solarsec
solar应急响应团队
2025年12月26日 16:38 山东
前言
2022年1月,一些NAS(网络附加存储)用户在他们的系统上发现了扩展名为.deadbolt的加密文件。大约在这个时候,Bleeping Computer发表了一则关于3600个设备也受到影响的新闻。从那时起,关于涉及DeadBolt系列勒索软件的NAS设备攻击的报告经常出现。DeadBolt勒索软件团伙声称其成员利用了NAS软件的零日漏洞,每一个新检测到的漏洞往往与一系列新的攻击有关。
2022年6月中旬,NAS设备制造商QNAP检测到一系列DeadBolt攻击,目标是运行QTS 4.2.x、4.3.x和4.4.x的企业NAS设备。
2022年2月,各种版本的DeadBolt勒索软件被用于攻击属于ASUSTOR的NAS设备。
2022年9月初,QNAP发布了另一个关于以DeadBolt勒索软件为特征的攻击的安全警报(CVE-2022-27593)。
特征
Trojan/Win32.DeadBolt会尝试禁用或绕过已安装的杀毒软件。
它可能会修改系统文件和注册表项,以隐藏自身并保持持久性。
该病毒可以窃取用户的个人隐私信息,如用户名、密码、银行账号等。
Trojan/Win32.DeadBolt可能会下载并安装其他恶意软件,进一步危害用户的计算机系统。
它可以通过远程控制命令纵被感染的计算机,例如进行DDoS攻击、挖矿等。
该病毒有可能通过网络传播,并感染其他计算机系统。
工具使用说明
如何使用 DeadBolt 的 Emsisoft 解密器
重要提示!请务必先从您的系统中隔离恶意软件,否则它可能会反复锁定您的系统或加密文件。如果您当前的防病毒解决方案无法检测到恶意软件,则可以使用 Emsisoft Anti-Malware 的免费试用版对其进行隔离。如果您的系统通过 Windows 远程桌面功能遭到入侵,我们还建议您更改允许远程登录的所有用户的所有密码,并检查本地用户帐户中是否有攻击者可能添加了其他帐户。
该解密器需要犯罪分子在支付赎金后提供的 32 个字符的密钥。
该密钥作为 BTC 交易的一部分在 OP_RETURN 代码中返回。
1.从提供此“操作方法”文档的同一站点下载解密器。
2.以管理员身份运行解密器。接下来将显示许可条款,您必须通过单击“是”按钮来同意:
3.接受条款后,在出现提示时输入您的 32 个字符的密钥。
4.输入密钥后,单击“确定”以打开主解密器用户界面:
5.默认情况下,解密器将使用当前连接的驱动器和网络驱动器预先填充要解密的位置。可以使用“添加”按钮添加其他位置。
6.解密器通常根据特定的恶意软件家族提供各种选项。可用选项位于 Options 选项卡中,可以在其中启用或禁用。您可以在下面找到可用选项的详细列表。
- 将所有要恢复的位置添加到列表中后,单击“恢复”按钮开始恢复过程。屏幕将切换到状态视图,通知您
文件的当前进程和恢复状态:
8.解密器会在恢复过程完成后通知您。如果您需要将报告用于您的个人记录,您可以通过单击“保存日志”按钮来保存它。您也可以将其直接复制到剪贴板,以便在需要时将其粘贴到电子邮件或论坛帖子中。
工具下载地址
点击关注下方名片进入公众号
回复关键字【DeadBolt】获取下载链接
全国热线| 400-613-6816
更多资讯| 扫码加入群组交流
喜欢此内容的人还喜欢
【紧急警示】Weaxor最新变种“.wxx”来袭,批量入国内知名财务类管理系统发起勒索攻击!
Solar应急响应团队
【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析
Solar应急响应团队
【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索,应急处置全流程高效修复,避免千万损失并获客户赠送锦旗 Solar应急响应团队
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:solar应急响应团队 solarsec《【工具分享】 DeadBolt勒索病毒恢复工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论