1.在被加密的主機上運行解密工具，會彈出許可條款，確認同意許可條款後點擊“yes”按鈕進入解密器：

2.點擊“Browse”按鈕選擇一個釋放勒索信息文件（”!!!READ_IT!!!.txt”），然後點擊”start”按鈕：

3.彈出風險提示，建議先嚐試對少量文件進行解密，若能夠成功解密再全盤使用：

4.選擇需要解密的目錄，”Addfolder”添加目錄、“Remove objects”移除目錄、“Clear object list”清空目錄列表：

5.確認目錄後，建議第一次嘗試時在”Options”窗口中選擇”Keep encrypted files”選項，該選項的作用是解密時不刪除被加密的文件，以防萬一：

6.解密完成後會在”Results”窗口輸出解密日誌，完成後即可查看文件是否成功解密，經測試，該工具對”.mira”後綴的Planetary勒索病毒能夠成功解密：

四、詳細分析

1.將病毒體通過註冊表添加到自啓動：

2.設置對象屬性，其中包含加密後的後綴名“.mira”，勒索信息文件名以及不進行加密的路徑：

總共包含以下幾項：

buildHash："QAzNd93S1AE="

extension：".mira"

readmeFileName："!!!READ_IT!!!.txt"

targetURL："https://www.example.com/write.php?info="

priorityDirs："Mercury4444"

blacklistProcs："svchost"、"^explorer\\.exe$"

blacklistDirs：

Common Files、InternetExplorer、Windows Defender、WindowsMail、Windows Media Player、WindowsMultimedia Platform、Windows NT、WindowsPhoto Viewer、Windows Portable Devices、WindowsPowerShell、Microsoft.NET、Windows Photo Viewer、Windows Security、Embedded Lockdown Manager、Windows Journal、MSBuild、Reference Assemblies、Windows Sidebar、Windows Defender AdvancedThreat Protection、Users\\.*\\Microsoft$、Users\\.*\\Package Cache$、Users\\.*\\MicrosoftHelp$

blacklistFiles：

"NTUSER\\.DAT.*"、"page.*\\.sys"、"swap.*\\.sys"、"\\.sys$"、"\\.dll$"

importantFiles：

"\\.bak$"、"\\.4dd$"、"\\.4dl$"、"\\.accdb$"、"\\.accdc$"、"\\.accde$"、"\\.accdr$"、"\\.accdt$"、"\\.accft$"、"\\.adb$"、"\\.adb$"、"\\.ade$"、"\\.adf$"、"\\.adp$"、"\\.alf$"、"\\.ask$"、"\\.btr$"、"\\.cat$"、"\\.cdb$"、"\\.cdb$"、"\\.cdb$"、"\\.ckp$"、"\\.cma$"、"\\.cpd$"、"\\.crypt12$"、"\\.crypt8$"、"\\.crypt9$"、"\\.dacpac$"、"\\.dad$"、"\\.dadiagrams$"、"\\.daschema$"、"\\.db$"、"\\.db$"、"\\.db-shm$"、"\\.db-wal$"、"\\.db3$"、"\\.dbc$"、"\\.dbf$"、"\\.dbs$"、"\\.dbt$"、"\\.dbv$"、"\\.dbx$"、"\\.dcb$"、"\\.dct$"、"\\.dcx$"、"\\.ddl$"、"\\.dlis$"、"\\.dp1$"、"\\.dqy$"、"\\.dsk$"、"\\.dsn$"、"\\.dtsx$"、"\\.dxl$"、"\\.eco$"、"\\.ecx$"、"\\.edb$"、"\\.edb$"、"\\.epim$"、"\\.fcd$"、"\\.fdb$"、"\\.fic$"、"\\.fm5$"、"\\.fmp$"、"\\.fmp12$"、"\\.fmpsl$"、"\\.fol$"、"\\.fp3$"、"\\.fp4$"、"\\.fp5$"、"\\.fp7$"、"\\.fpt$"、"\\.frm$"、"\\.gdb$"、"\\.gdb$"、"\\.grdb$"、"\\.gwi$"、"\\.hdb$"、"\\.his$"、"\\.ib$"、"\\.idb$"、"\\.ihx$"、"\\.itdb$"、"\\.itw$"、"\\.jet$"、"\\.jtx$"、"\\.kdb$"、"\\.kexi$"、"\\.kexic$"、"\\.kexis$"、"\\.lgc$"、"\\.lwx$"、"\\.maf$"、"\\.maq$"、"\\.mar$"、"\\.marshal$"、"\\.mas$"、"\\.mav$"、"\\.mdb$"、"\\.mdf$"、"\\.mpd$"、"\\.mrg$"、"\\.mud$"、"\\.mwb$"、"\\.myd$"、"\\.ndf$"、"\\.nnt$"、"\\.nrmlib$"、"\\.ns2$"、"\\.ns3$"、"\\.ns4$"、"\\.nsf$"、"\\.nv$"、"\\.nv2$"、"\\.nwdb$"、"\\.nyf$"、"\\.odb$"、"\\.odb$"、"\\.oqy$"、"\\.ora$"、"\\.orx$"、"\\.owc$"、"\\.p96$"、"\\.p97$"、"\\.pan$"、"\\.pdb$"、"\\.pdb$"、"\\.pdm$"、"\\.pnz$"、"\\.qry$"、"\\.qvd$"、"\\.rbf$"、"\\.rctd$"、"\\.rod$"、"\\.rod$"、"\\.rodx$"、"\\.rpd$"、"\\.rsd$"、"\\.sas7bdat$"、"\\.sbf$"、"\\.scx$"、"\\.sdb$"、"\\.sdb$"、"\\.sdb$"、"\\.sdb$"、"\\.sdc$"、"\\.sdf$"、"\\.sis$"、"\\.spq$"、"\\.sql$"、"\\.sqlite$"、"\\.sqlite3$"、"\\.sqlitedb$"、"\\.te$"、"\\.teacher$"、"\\.tmd$"、"\\.tps$"、"\\.trc$"、"\\.trc$"、"\\.trm$"、"\\.udb$"、"\\.udl$"、"\\.usr$"、"\\.v12$"、"\\.vis$"、"\\.vpd$"、"\\.vvv$"、"\\.wdb$"、"\\.wmdb$"、"\\.wrk$"、"\\.xdb$"、"\\.xld$"、"\\.xmlff$"、"\\.bson$"、"\\.json$"、"\\.ldf$"、"\\.arm$"、"\\.cnf$"、"\\.dbs$"、"\\.ddl$"、"\\.frm$"、"\\.ibd$"、"\\.ism$"、"\\.mrg$"、"\\.myd$"、"\\.myi$"、"\\.mysql$"、"\\.opt$"、"\\.phl$"、"\\.sal$"、"\\.sqr$"、"\\.tmd$"、"\\.arz$"、"\\.ibz$"、"\\.ibc$"、"\\.qbquery$"、"\\.rul$"

readmeText：

" ALL YOUR DATA WASENCRYPTED\r\n\r\nIf you want to recover your data:\r\n\r\n1.Send your personalID to our emails.\r\n2.You can send us 1 small file for test decryption.\r\n3.After payment you will get decryption tool and opportunity to recover allyour data.\r\n\r\n\r\n To avoid file loss, do not try to rename or modifyencrypted files.\r\n \r\n Our contacts:\r\n\r\[email protected]\r\[email protected]\r\n\r\n Your personalID:\r\n\t\t\t\t \r\n";

3.在遍歷的每個目錄下釋放勒索信息文件“!!!READ_IT!!!.txt”：

4.設置加密模式：

5.遍歷除指定目錄外的所有路徑：

6.加密文件：

五、解決方案

針對已經出現勒索現象的用戶，建議儘快對感染主機進行斷網隔離，下載解密工具進行解密，解密工具下載鏈接如下：

https://decrypter.emsisoft.com/planetary

深信服提醒廣大用戶儘快做好病毒檢測與防禦措施，防範該病毒家族的勒索攻擊。

病毒防禦

深信服安全團隊再次提醒廣大用戶，勒索病毒以防爲主，目前大部分勒索病毒加密後的文件都無法解密，注意日常防範措施：

1.及時給電腦打補丁，修復漏洞。

2.對重要的數據文件定期進行非本地備份。

3.不要點擊來源不明的郵件附件，不從不明網站下載軟件。

4.儘量關閉不必要的文件共享權限。

5.更改賬戶密碼，設置強密碼，避免使用統一的密碼，因爲統一的密碼會導致一臺被攻破，多臺遭殃。

6.如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火牆，或者終端檢測響應平臺（EDR）的微隔離功能對3389等端口進行封堵，防止擴散！

7.深信服防火牆、終端檢測響應平臺（EDR）均有防爆破功能，防火牆開啓此功能並啓用11080051、11080027、11080016規則，EDR開啓防爆破功能可進行防禦。

8.深信服防火牆客戶，建議升級到AF805版本，並開啓人工智能引擎Save，以達到最好的防禦效果。

9.使用深信服安全產品，接入安全雲腦，使用雲查服務可以即時檢測防禦新威脅。

最後，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。

*本文作者：深信服千里目安全實驗室，轉載請註明來自FreeBuf.COM

聲明：該文觀點僅代表作者本人，搜狐號系信息發佈平臺，搜狐僅提供信息存儲空間服務。