資安研究人員Michael Gillespie於本周釋出了CryptoSearch程式,可將Windows電腦上遭到勒索軟體加密的檔案備份到其他位置並建檔,若日後出現了解密工具即可挽救這些檔案。
CryptoSearch奠基在同為Gillespie所開發的ID Ransomware服務上,ID Ransomware可根據勒索訊息或加密檔案來辨識勒索軟體,目前已可辨識數百種勒索軟體,且持續更新中。
根據Gillespie的說明,在首次啟用CryptoSearch時,它會先連至ID Ransomware,取得已知勒索軟體的副檔名與字節模式,再將勒索軟體的定義存放到程式中,下次若電腦被隔離或離線時仍可繼續使用該程式。Gillespie強調這是CryptoSearch唯一一次的網路活動,也不會將使用者系統上的資訊上傳。
執行CryptoSearch後,使用者可輸入勒索軟體名稱、所使用的副檔名或是字節模式來搜尋系統上遭到加密的檔案;在搜尋時可以選擇列出被加密的檔案、列出乾淨的文件夾,或是搜尋特定目錄與電腦;有了結果之後,則能匯出加密檔案的文字列表,或是將加密檔案備份到其他地方建檔,此一存檔將保護完整的文件夾架構。
CryptoSearch並不能協助使用者解密資料,而是找出電腦上遭加密的檔案並將其備份,以期待未來可能會出現的解密工具,同時也能讓使用者安心地重新格式化遭到駭客攻擊的系統。