前言

MarsJoke（又名 Polyglot）勒索病毒首次被发现于 2016 年，主要针对政府机构、教育组织和运输行业等关键基础设施。该病毒通过加密受害者的文件并要求支付赎金以换取解密密钥。MarsJoke 的传播方式主要包括钓鱼邮件和恶意附件，受害者一旦打开恶意文件，病毒便开始加密过程。尽管 MarsJoke 的加密技术相对复杂，但由于其使用的策略和传播方式，MarsJoke 对无备份的用户造成了巨大威胁，并增加了企业数据泄露和业务中断的风险。

特征

MarsJoke 勒索病毒感染系统后，会扫描并加密多种文件类型，包括文档、图片、视频、数据库和系统配置文件等。被加密的文件通常附加特定的后缀，受害者无法通过常规方式打开这些文件。病毒会在每个受影响的文件夹中生成勒索信，通常名为“README.txt”或“HOW_TO_RECOVER.txt”，其中包含赎金支付的详细指引，包括比特币钱包地址、攻击者的联系方式以及支付期限。勒索信通常威胁称，如果受害者未在规定时间内支付赎金，文件将被永久删除或无法解密。

MarsJoke 主要通过网络钓鱼邮件、恶意广告、软件漏洞和远程桌面协议（RDP）暴力破解传播。攻击者常伪装成合法的企业通知或官方文件，诱导受害者点击恶意附件或访问受感染的网站。一旦病毒被执行，它会迅速启动加密过程，并尝试禁用防病毒软件、删除系统备份和恢复点，以阻止受害者通过传统方法恢复数据。此外，MarsJoke 还可能具备横向移动的能力，能够通过受害者的网络感染更多的设备，扩大影响范围。

该病毒具备强大的反分析和反检测能力，能够识别虚拟机和沙箱环境，从而逃避安全研究人员的分析。部分版本的 MarsJoke 还可能结合数据窃取功能，在加密文件的同时窃取受害者的敏感信息，并威胁公开数据，以进一步施压受害者支付赎金。这种双重勒索策略使其成为更具威胁性的勒索软件。

总体而言，MarsJoke 以其高效的加密能力、复杂的传播方式和强大的反检测技术，对目标系统构成了极大的安全威胁。用户和企业应采取预防措施，例如限制 RDP 访问、定期备份数据、更新系统补丁，并提高员工对钓鱼邮件和社交工程攻击的警惕性，以降低受到攻击的风险。

工具使用说明

重要提示！ 在使用恢复工具之前，请确保先从系统中隔离恶意软件，否则它可能会反复锁定您的系统或加密文件。如果当前的杀毒软件无法检测到恶意软件，可以使用 Emsisoft Anti-Malware 的免费试用版进行隔离。如果系统通过 Windows 远程桌面功能被攻击，我们还建议更改所有允许远程登录的用户密码，并检查本地用户账户是否存在攻击者可能添加的账户。

操作步骤：

1.下载并解压 RannohDecryptor.zip 文件。

2.在受感染的计算机上运行 RannohDecryptor.exe。

3.在主界面中点击 “开始扫描”（Start scan）。

4.指定一份被加密的文件和一份未被加密的原始文件的路径。

5.等待工具定位并恢复数据。

6.如有需要，重启计算机。

7.若需删除恢复成功后仍存在的加密文件副本（文件名格式为 locked<原文件名>.<四位随机字母>），可勾选 “恢复后删除加密文件”（Delete encrypted files after decryption）选项。

**注意：**如果选择了“恢复后删除加密文件”，恢复后的文件将保存在原文件名下。

8.工具默认将日志文件保存到系统盘（通常为操作系统安装盘）。日志文件命名规则为：UtilityName.Version_日期_时间_log.txt。例如：C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt。

**特别提示：**如果您选择了恢复由 CryptXXX v2 加密的文件，密钥恢复过程可能耗时较长。此时工具会显示相关提示信息，请耐心等待。