在8月8日，安全團隊MalwareHunterTeam發(fā)現(xiàn)了一個名為“RansomWarrior”的新型勒索軟件。

根據(jù)向受害者展示的贖金票據(jù)來看，RansomWarrior似乎是由印度黑客開發(fā)的，且似乎并不具備太多的惡意軟件開發(fā)經驗。采用.NET編寫的可執(zhí)行文件本身并沒有經過混淆、打包或以其他方式進行保護，這表明它的開發(fā)者極有可能是一個“新手”。

實際上，RansomWarrior的加密過程采用的是流密碼（對稱加密算法的一種），密鑰來自二進制代碼中的一個硬編碼列表（包含有1000個密鑰）。在加密時，RansomWarrior會從中隨機選擇一個密鑰。

對于Check Point的威脅研究團隊來說，RansomWarrior使用的這種加密方法使得他們能夠提取出這些密鑰。另外，由于密鑰索引會被保存在受害者的計算機上，因此提供了勒索軟件本身的正確密鑰，可用于解鎖文件。

Check Point在最新發(fā)布的一份報告中提供了免費解密器的下載（包括使用指南），它適用于任何受RansomWarrior感染的受害者。下面就讓我們來看看，如何使用這個解密器來恢復文件。

首先，你需要下載這個解密器（下載地址：hxxps://research.checkpoint.com/wp-content/uploads/2018/08/RansomWarrior_Decryption_Tool.zip）。

在解壓縮這個.zip文件之后，找到可執(zhí)行文件“DecryptionTool.exe”。右鍵單擊，以“管理員”身份運行它。

然后，點擊“Yes”，以同意運行。

在這之后，你會看到如下提示：

接下來，打開原始贖金票據(jù)，然后點擊其中的“Get Your Important Files Back”按鈕。

在解密過程完成之后，你會看到如下提示。至此，文件恢復成功。