安全公司公布勒索软件FunkSec解密密钥 可以免费解密已经被加密的文件

网络安全公司 Gen Digital (该公司即原来的赛门铁克、诺顿) 日前向行业组织提交勒索软件 FunkSec 的解密密钥和解密器，被这款勒索软件加密的受害者可以使用解密器免费解密所有已经被加密的文件，当然前提是这些文件还没有被删除。

公布解密工具的原因是安全公司观察到这个勒索软件可能已经不再活跃，自 2025 年 3 月 18 日以来该勒索软件的数据泄露站点没有添加任何新的受害者，这表明其背后的团队或许已经解散。

为什么开发解密器后不立即公布而是等待勒索软件不活跃再公布呢？

这方面的原因主要是公布解密密钥和解密器后勒索软件会立即更新密钥并采用更强的加密措施来阻止破解，在不公布的情况下安全公司可以私下帮助受害者解密文件，这样可以持续为受害者解密文件而不是需要重新研究破解机制，毕竟勒索软件的破解机制相对来说都比较麻烦，大多数被勒索软件加密的文件都是无法通过暴力破解方式进行解密的。

FunkSec 勒索软件通过 Rust 编程语言进行构建，这种编程语言具有安全性和更加快速高效，因此在勒索软件领域里 Rust 语言也在被快速使用，例如 BlackCat 和 Agenda 等也在使用 Rust。

FunkSec 勒索软件还使用 orion-rs v0.17.7 库进行加密，在加密期间使用 Chacha20 和 Poly1305 算法，尽管安全公司并未透露怎么开发的解密器，但大多数情况下安全公司开发解密器都是发现勒索软件的固有漏洞例如加密缺陷，而不是对加密算法进行破解 (因为这种高强度加密算法直接破解是不现实的)。

现在所有 FunkSec 受害者都可以通过欧盟的 No More Ransom 项目下载解密器，FunkSec 加密的文件后缀为.funksec，使用解密器时需要预先确认被加密的文件是否与 FunkSec 签名匹配。

建议有经验的用户或者 IT 管理员提前备份被加密的数据后，再使用解密器进行解密，以免解密过程中出现意外导致现有文件被破坏，解密器下载地址：https://www.nomoreransom.org/en/decryption-tools.html#FunkSec

注：解密工具由捷克安全公司 Avast 开发，Gen Digital 此前已经收购了 Avast。