Marsjoke aka Polyglot 恢复工具

前言

MarsJoke(又名 Polyglot)勒索病毒首次被发现于 2016 年,主要针对政府机构、教育组织和运输行业等关键基础设施。该病毒通过加密受害者的文件并要求支付赎金以换取解密密钥。MarsJoke 的传播方式主要包括钓鱼邮件和恶意附件,受害者一旦打开恶意文件,病毒便开始加密过程。尽管 MarsJoke 的加密技术相对复杂,但由于其使用的策略和传播方式,MarsJoke 对无备份的用户造成了巨大威胁,并增加了企业数据泄露和业务中断的风险。

特征

MarsJoke 勒索病毒感染系统后,会扫描并加密多种文件类型,包括文档、图片、视频、数据库和系统配置文件等。被加密的文件通常附加特定的后缀,受害者无法通过常规方式打开这些文件。病毒会在每个受影响的文件夹中生成勒索信,通常名为“README.txt”或“HOW_TO_RECOVER.txt”,其中包含赎金支付的详细指引,包括比特币钱包地址、攻击者的联系方式以及支付期限。勒索信通常威胁称,如果受害者未在规定时间内支付赎金,文件将被永久删除或无法解密。

MarsJoke 主要通过网络钓鱼邮件、恶意广告、软件漏洞和远程桌面协议(RDP)暴力破解传播。攻击者常伪装成合法的企业通知或官方文件,诱导受害者点击恶意附件或访问受感染的网站。一旦病毒被执行,它会迅速启动加密过程,并尝试禁用防病毒软件、删除系统备份和恢复点,以阻止受害者通过传统方法恢复数据。此外,MarsJoke 还可能具备横向移动的能力,能够通过受害者的网络感染更多的设备,扩大影响范围。

该病毒具备强大的反分析和反检测能力,能够识别虚拟机和沙箱环境,从而逃避安全研究人员的分析。部分版本的 MarsJoke 还可能结合数据窃取功能,在加密文件的同时窃取受害者的敏感信息,并威胁公开数据,以进一步施压受害者支付赎金。这种双重勒索策略使其成为更具威胁性的勒索软件。

总体而言,MarsJoke 以其高效的加密能力、复杂的传播方式和强大的反检测技术,对目标系统构成了极大的安全威胁。用户和企业应采取预防措施,例如限制 RDP 访问、定期备份数据、更新系统补丁,并提高员工对钓鱼邮件和社交工程攻击的警惕性,以降低受到攻击的风险。

工具使用说明

重要提示! 在使用恢复工具之前,请确保先从系统中隔离恶意软件,否则它可能会反复锁定您的系统或加密文件。如果当前的杀毒软件无法检测到恶意软件,可以使用 Emsisoft Anti-Malware 的免费试用版进行隔离。如果系统通过 Windows 远程桌面功能被攻击,我们还建议更改所有允许远程登录的用户密码,并检查本地用户账户是否存在攻击者可能添加的账户。

操作步骤:

1.下载并解压 RannohDecryptor.zip 文件。

2.在受感染的计算机上运行 RannohDecryptor.exe

3.在主界面中点击 “开始扫描”(Start scan)。

4.指定一份被加密的文件和一份未被加密的原始文件的路径。

5.等待工具定位并恢复数据。

6.如有需要,重启计算机。

7.若需删除恢复成功后仍存在的加密文件副本(文件名格式为 locked<原文件名>.<四位随机字母>),可勾选 “恢复后删除加密文件”(Delete encrypted files after decryption)选项。

**注意:**如果选择了“恢复后删除加密文件”,恢复后的文件将保存在原文件名下。

8.工具默认将日志文件保存到系统盘(通常为操作系统安装盘)。日志文件命名规则为:UtilityName.Version_日期_时间_log.txt。例如:C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

**特别提示:**如果您选择了恢复由 CryptXXX v2 加密的文件,密钥恢复过程可能耗时较长。此时工具会显示相关提示信息,请耐心等待。