新的 Phobos 和 8base 勒索軟體解密器可免費恢復文件
2025 年 7 月,日本國家警察廳正式向全球公開一款可免費解鎖 Phobos 和 8‑Base 勒索軟體加密檔案的解密工具。此舉反映日本警方參與的國際行動取得重大情資成果,進而成功研發此工具,解救受害者免於支付贖金。
Phobos 勒索軟體首次出現於 2018 年底,以「服務式勒索」(RaaS)的模式擴散,用戶端只需購買其加密模組並啟動攻擊。2023 年,衍生的 8‑Base 團隊則強化攻擊流程,除了加密檔案,還竊取資料並威脅外洩,帶來雙重勒索效果。2024 年,多國執法單位發動聯合突襲,同年逮捕 Phobos 和 8‑Base 的核心人員,查獲 27 台伺服器及相關資產,為此次工具開發提供重要情報。
解密工具概況
來源與準備:日本警方於 2025 年 7 月 17 日公布解密工具,並同步發布詳細英文說明指南
GIGAZINE。
官方推廣:此工具由日本警方研發,並由 Europol、FBI 和日本警方共同宣導,在 NoMoreRansom 平台亦提供下載 。
支援的副檔名:目前可解鎖 .phobos、.8base、.elbie、.faust、.LIZARD 等常見後綴。日本警方表示可能支援更多副檔名 。
- 下載警示:由於此工具為官方加密解密程式,瀏覽器如 Chrome、Firefox 仍可能誤判為惡意程式,使用者需自行恢復或排除誤判 。
實際操作指南
移除勒索軟體:依 NoMoreRansom 建議,務必要先使用可靠的防毒或 EDR 工具清除惡意程式,以避免重複加密。
下載與解壓縮:下載 phdec_gui_v1.0.0.zip(實為.exe),可能會被安全軟攔截或刪除,可根據官方指南修復或改名
啟動程式:
- 同意使用條款後啟動;
- 若 Windows 版本不支援 長檔名,會要求開啟此功能;
- 指定來源加密資料夾與輸出資料夾;
- 點擊「Decrypt」,程式會遞迴處理並顯示解密檔案數量 BleepingComputer。
- 解密結果:經 BleepingComputer 測試,解密 Lizard 版本的範例檔案夾中 150 個檔案,均成功恢復原檔狀態
注意事項與操作建議
解密前請準備備份,以防工具失敗或操作異常影響原始檔案。
解密工具雖具官方背書,仍需自行對來源與用途進行評估,特別是企業環境可先於隔離電腦進行測試。
- 瀏覽器警示僅屬誤判,可搭配卸載規則或將工具加入排除清單。
解密工具的重要意義
大幅降低受害成本:受害組織與個人可在不支付贖金情況下回復檔案,從根本減損犯罪獲利動機 。
國際執法合作成果展現:此工具的開發源於國際合作行動,包括日本、歐盟執法機構與美國司法單位的情報共享與逮捕行動。
抑制犯罪產業鏈:由於受害方可資料找回,該勒索軟體 RaaS 模式的吸引力將受到極大衝擊。
示範公共安全角色:強調官方在網路犯罪防制的主動作用,提高 public trust 並帶動日後政策與技術對抗勒索攻擊。
未來風險與防護建議
儘管此解密工具大幅改善現況,但以下風險仍需注意:
病毒庫誤判干擾下載:建議使用隔離端點或臨時關閉掃描功能下載。
工具有限適用範圍:未知維護是否持續更新,仍可能出現支援不完整的變種。
- 防範至上:建議加強 RDP 門戶安全、建立定期備份機制、部署 EDR 監控、強化使用者教育與入侵防禦。
結語
日本警方釋出的 Phobos/8‑Base 解密工具不僅實質幫助眾多受害個體恢復資料,是全球警方與資訊安全共同對抗勒索軟體組織的里程碑。此舉具有高度示範、震懾及實務價值。建議所有受到感染影響的個人或組織:
儘快下載工具並於安全環境測試使用;
若有疑難,動用專業資安工具進行清除與修復;
更重要的是,從此事件中汲取教訓,強化主要資訊資產的預防與備援機制。
資料來源:https://www.bleepingcomputer.com/news/security/new-phobos-ransomware-decryptor-lets-victims-recover-files-for-free/