2016年6月14日

加密勒索木马是全世界电脑用户目前面临的严重威胁：这类恶意软件将保存在电脑上的各类信息加密后向用户进行解密勒索。目前已知多种此类木马。反病毒软件厂家Doctor Web已经积累了解除类似木马威胁的丰富经验，在某些情况下可以成功还原被木马加密的文件。被名为CryptXXX的木马加密的文件就属于可成功解密之列：如文件是在2016年6月初之前被加密，则Doctor Web公司的技术人员可以成功将其解密。

恶意软件Trojan.Encoder.4393的另一个名称就是CryptXXX，是种类众多的加密木马的一个典型代表。此加密器有多个版本，不法分子在全世界广泛传播。为了扩大不法获利，恶意软件编写者组织了有偿解密服务，而勒索获得的一部分收入会落入木马传播者的腰包。所有被CryptXXX加密的文件副本都发送到同一个控制服务器，而提供解密的网站则处于匿名网络 TOR。严密的组织很有可能是这一木马感染地区极为广泛的一个原因，而CryptXXX也已成为不法分子“最钟爱”的一款木马。被其感染的文件会出现一个扩展名*.crypt。而勒索信文件的名称为de_crypt_readme.txt、 de_crypt_readme.html 和de_crypt_readme.png。

如果您的电脑被这种恶意软件感染，而文件是在2016年6月初之前被加密，则可以将文件成功还原。还原的成功率取决于多种因素，且在很大程度上取决于用户自己在被加密后所采取的操作。

• 不要从电脑上删除任何文件，也不要重新安装操作系统，在得到Doctor Web公司技术支持人员的指导前不要使用被感染的电脑。
• 如果启动了反病毒扫描，不要进行清除操作或删除侦测到的恶意软件，技术人员在解密过程中可能会用到这些恶意软件本身的文件。
• 尽量提供如何遭受感染的相关信息：是否是通过邮箱收到了可疑邮件，或是从互联网下载了什么软件，或是访问了什么网站。
• 如果在收到某一带附件的邮件后电脑上的文件被加密，不要删除这封邮件，技术人员通过邮件可以确定入侵电脑的木马的版本。

解密被 CryptXXX加密的文件请使用Doctor Web公司的专门网页。如果被加密时您的电脑上在使用具有有效授权的且不低于版本10的Dr.Web Security Space (Windows操作系统)或 Dr.Web Anti-virus(OS X 或Linux操作系统) ，或者是Dr.Web Enterprise Security Suite （版本为 6+)，我们免费提供解密服务。其他情况下需利用 此申请来获取收费的解密工具Dr.Web Rescue Pack ，只有在技术人员确认您的文件可以成功解密后才会收取解密服务费。此外，使用此解密工具的用户会获得免费的Dr.Web Security Space两年期授权，可用于保护一台电脑。木马加密器详细信息和抵御措施介绍参见。