文章总结： 本文分享了Diavol勒索病毒的特征及Emsisoft解密器的使用方法。Diavol通过加密文件索要赎金，用户需利用文件对重建密钥。文章详细阐述了隔离恶意软件、运行解密器及数据恢复的全流程，为受害者提供了可操作的恢复方案，有效防止二次攻击。 综合评分： 88 文章分类： 应急响应,恶意软件,安全工具,数据安全

【工具分享】 Diavol勒索病毒恢复工具

原创

solarsec

solar应急响应团队

2025年12月30日 16:28 山东

前言

Trojan/Win64.Diavol[Ransom]的首个样本在2021年11月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是Windows平台下的PE文件，主要针对x86-64体系结构下的Windows 64位系统进行攻击。它的主要行为是加密或锁定用户设备中的文件，同时使其无法访问。它得名于其行为通过加密或锁定用户的文件，迫使用户支付赎金以恢复文件的访问权限。目前Trojan/Win64.Diavol[Ransom]存在可执行文件、文本至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。

特征

Trojan/Win64.Diavol[Ransom]会自动在计算机上运行，并开始扫描文件系统来搜索用户的敏感文件。

一旦发现目标文件，它会使用强大的加密算法对文件进行加密，使其无法被访问或打开。

这种病毒还会在用户的桌面或文件夹中放置勒索信息，要求用户支付赎金以获取解密密钥。

Trojan/Win64.Diavol[Ransom]还具有自我保护机制，可以尝试绕过杀毒软件的检测和删除。

该病毒还可能下载和安装其他恶意软件，如键盘记录器和远程控制工具，以进一步侵入用户计算机并盗取敏感信息。

将用户的计算机变成僵尸网络的一部分，用于DDoS攻击或其他非法活动。

工具使用说明

如何使用 Diavol 的 Emsisoft 解密器

重要提示！请务必先从您的系统中隔离恶意软件，否则它可能会反复锁定您的系统或加密文件。如果您当前的防病毒解决方案无法检测到恶意软件，则可以使用 Emsisoft Anti-Malware 的免费试用版对其进行隔离。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议您更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能添加了其他帐户。

解密器需要访问由一个加密文件和加密文件的原始未加密版本组成的文件对，以重建解密其余数据所需的加密密钥。此文件的大小必须约为 20KB 或更大。请不要更改原始文件和加密文件的文件名，因为解密器可能会执行文件名比较以确定用于系统上加密文件的正确文件扩展名。

1.从提供此“操作方法”文档的同一站点下载解密器。

2.以管理员身份运行解密器。接下来将显示许可条款，您必须通过单击“是”按钮来同意：

3.接受条款后，使用“浏览”按钮选择您的文件对。然后，单击“开始”按钮。

4.恢复过程完成后，解密器将显示重建的加密详细信息。显示纯粹是信息性的，以确认已找到所需的加密详细信息：

5.找到密钥后，单击“确定”打开主解密器用户界面：

6.默认情况下，解密器将使用当前连接的驱动器和网络驱动器预先填充要解密的位置。可以使用 “Add” 按钮添加其他地点。

7.解密器通常根据特定的恶意软件家族提供各种选项。可用选项位于 Options 选项卡中，可以在其中启用或禁用。您可以在下面找到可用选项的详细列表。

8.将要恢复的所有位置添加到列表后，单击“恢复”按钮开始恢复过程。屏幕将切换到状态视图，通知您文件的当前进程和恢复状态：

9.恢复过程完成后，解密器会通知您。如果您需要报告作为个人记录，您可以通过单击“保存日志”按钮来保存它。如果要求，您还可以将其直接复制到剪贴板以粘贴到电子邮件或论坛帖子中。

工具下载地址

点击关注下方名片进入公众号

回复关键字【Diavol】获取下载链接

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

Solar应急响应团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

Solar应急响应团队

【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 Solar应急响应团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec《【工具分享】 Diavol勒索病毒恢复工具》