.HRM勒索病毒如何删除和恢复文件？分享一些方法

我们来翻译一下大概意思是：

HERMES 2.1 RANSOMWARE

 

您的所有重要文件都已加密

 

您的文件已使用RSA2048算法加密，并在PC上存储了唯一的公钥。

 

只有一种方法可以恢复您的文件：与我们联系，付款并获取   解密软件。 

 

我们接受比特币和其他加密货币，你可以在bestbitcoinexchange.io上找到交换器  

 

你有唯一的idkey（在黄色框架中），在与我们联系时写在信中。

 

您还可以解密1个文件进行测试，它保证我们可以解密您的文件。

 

IDKEY：加密字符之类的
备注：下面就是这勒索病毒作者的邮箱，这几天很忙，我没时间和他交流，因为我知道，即便是哀求，这写制造勒索病毒的人也很冷酷的，突然又想起前几个月，我和一个安全公司的兄弟一起哀求这些黑客，结果还被人家嘲笑，很丢人。我看到新闻上经常说国家科技很进步了，各种高精尖的技术很厉害，不知不觉有点心酸，唉，不说了。

Contact information:

primary email: unlockmeplease@cock.li

reserve email: BM-2cX6K4ND1QC3pn7Td73hAL1omMX1V4M2x1@bitmessage.ch

 

      其实这种RSA2048位加密的算法，我举一个简单的例子，如果用超级计算机来破解密码机制的话，没有个几百年是不可能的，因为我记得微软是256位加密，那种算法，最快的计算机也得半小时。更别说2048位的呢，所以说根本无解，当然这是正常的操作流程，一些专业的安全公司肯定有特殊的处理方法，然后解密后，把揭秘机制分享出来，仅仅是能把特定类型加密的文件解密。

        好了，话不多说，直接本主题把，那么.HRM后缀的勒索病毒文件如何恢复呢？请参考一下经验：

1、首先要了解这是一个什么样的勒索病毒，根据分析，这是Hermes勒索软件的2.1版本，就像其他版本一样，它会加密受感染计算机上的文件，之后会为它们设置.hrm文件扩展名。然后病毒留下了一张赎金票据，名为DECRYPT_INFORMATION.html。它威胁受害者并让他们发送比特币以便再次解密他们的文件。恶意软件还使用高级加密，以便为每个文件或文件集呈现唯一的解密密钥。由于这些密钥仅为网络犯罪分子所知，因此它们是唯一有权直接解密文件的人。尽管如此，支付赎金是非常不可取的。如果您的计算机已被Hermes勒索软件感染，我们建议您仔细阅读本文，了解如何删除Hermes 2.1勒索软件以及如何恢复加密文件而无需支付BitCoin。


2、经过分析，这种大部分都是通过邮箱或者下载感染的，感染过程如下：

一旦您感染了Hermes勒索软件的这种变种，感染文件就会连接到远程主机并下载此勒索软件的恶意负载。它由几个文件组成，可能具有以下名称：

→Reload.exe 
system_.bat 
shade.bat 
DECRYPT_INFO.txt 
DECRYPT_INFORMATION.html 
UNIQUE_ID_DO_NOT_REMOVE 
hermes.exe 
shade.vbs

在Hermes 2.1 .hrm文件的有效负载被删除后，恶意软件也可能在您的计算机上创建以下文件：

→Cversions.2.db 
Computer Management.lnk 
具有随机名称的多个.db对象，位于％Caches％目录中。

一旦在受害者的计算机上创建并删除了这些文件，恶意软件可能会立即开始使用Evelen方法以绕过UAC服务。发生这种情况后，.hrm文件病毒可能会执行以下Windows命令提示符命令，以便擦除计算机的卷影卷副本：

→进程调用create“cmd.exe / c 
vssadmin.exe delete shadows / all / quiet 
bcdedit.exe / set {default} recoveryenabled no 
bcdedit.exe / set {default} bootstatuspolicy ignoreallfailures

已删除的卷影副本也不限于一种文件类型。Hermes 2.1勒索软件确保删除以下备份文件类型：

→.VHD .bac .bak .wbcat .bkf，backup，.set，.win .dsk

一旦勒索软件删除了影子卷副本，.hrm文件病毒就会开始修改Windows注册表编辑器，方法是在以下子键中添加带有值的自定义注册表字符串：

→HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run“/ v”allkeeper“/ t REG_SZ / d”％USERPROFILE％\ Desktop \ DECRYPT_INFORMATION.html“/ f 
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run”/ v “sysrep”/ t REG_SZ / d“％PUBLIC％\ Reload.exe”/ f 
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run“/ v”allkeeper“/ t REG_SZ / d 
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \运行“/ v”sysrep“/ t REG_SZ / d 
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ allkeeper C：\ users \ User \ Desktop \ DECRYPT_INFORMATION.html

在此之后，病毒也会丢弃它的DECRYPT_INFORMATION.html，也就是上面我上传的那种图片。


当然勒索病毒后缀，还有很多，例如：→.ACCDB，.agif，.awdb，.bean，.cdmm，.cdmz，.cdr3，.cdr4，.cdr6，.cdrw，.clkw，.crwl，.ddoc，.djvu，.DOCM，.DOCX，。 docz，.dotm，.DOTX，.dtsx程序，.emlx，.epsf，.fdxt，.fh10，.fh11，.fodt，.fpos，.ft10，.ft11，.fwdn，.gdoc，.gfie，.glox， .gthr，.hpgl和.html，.icon，.idea，.itc2，.itdb，.jbig，.JPEG，.jpg2，.jrtf，.kdbx，.mbox，.mell，.mgcb，.mgmf，.mgmt ，.mgmx，.mgtx，.mmat，.MOBI，.mrxs，.pano，.PICT，.pjpg，.pntg，.pobj，.PPTM，.PPTX，.psdx，.psid，.rctd，.reloc节。纵，.s2mv，.save，.scad，.sdoc，.smil，.ssfn，.sumo，名.svgz，的.text，.TIFF，.utf8，.vrml，.vsdm，.vsdx，.vstm，.vstx，和.wbmp，.WEBP，.wmdb，为.xhtm，.xlgc，.xlsb，.XLSM，.XLSX，.zabw（700以上）


3、具体如何恢复呢？我这个方法不见得就是100%能够恢复，如果有价值的数据能够恢复出来，那就没必要支付赎金了。

1、使用一些比较好用的数据恢复软件扫描您的计算机，数据恢复软件有很多，可以自己百度一下。

2、还有一些在线类的网站，专门恢复勒索病毒文件的，基本都是免费支持上传文件的。可以自己找找。挺多的。
例如下面这个就是我上传了一个.HRM的文件，解密可能成功了，有点小惊喜哈。无图不欢呀，上图！



3、还有就是，“等”先别做系统，先等1-2年，等安全公司解密后，分享出来，还是有希望的。

4、支付赎金，这个有风险，因为勒索病毒有很多变异。

5、通过邮箱和黑客交流感情，上次我假装自杀，还PS了照片，结果把黑客逗乐拉，给我回了几个大拇指，还成功解密了。就这一次成功了。后来也是通过这种煽情，结果人家不给弄了。

6、360有个功能就是勒索病毒文件恢复，这个可以试试，360卫士功能里面就有。

7、卡巴斯基有几个专门处理勒索病毒的软件，我只能截图一下，大家可以百度搜索，可能运气好了，也能成功解密。下面有图：
 

 

当然这样的网址挺多的，自行百度一下吧。


这种病毒让我来说，靠解密的思路很难，除非像卡巴斯基 360这种全球一线的团队来完成。


最后总结一下吧：