CyberArk 创建了“White Phoenix”的在线版本，这是一种开源勒索软件解密器，主要针对使用间歇性加密。

该工具已经作为 Python 项目通过 GitHub 免费提供，但对于技术不太精通、不知道如何使用代码的勒索软件受害者来说，还需要一个在线版本。

使用在线 White Phoenix 非常简单，只需上传文件，点击“恢复”按钮，然后让该工具有时间恢复它可以恢复的部分。

目前，该工具支持 PDF、Word 和 Excel 文档文件、ZIP 和 PowerPoint。此外，在线版本的文件大小限制为 10MB，因此如果用户想要解密更大的文件或虚拟机 (VM)，  GitHub 版本是唯一的选择。

间歇性加密

间歇加密是许多勒索软件所使用的方法 ，仅通过部分加密受害者的文件来加速设备加密。

目前采用间歇性加密的勒索软件包括 Blackcat/ALPHV、Play、Qilin/Agenda、BianLian 和 DarkBit。因此，White Phoenix 只能帮助受到这些菌株影响的受害者。

使用间歇性加密，威胁分子可以加快攻击速度，同时让受害者无法在不付费的情况下恢复数据。

然而，间歇性加密有一个弱点，因为它会在文件中留下大量未加密的数据。如果这些未加密的数据块包含有用的信息，尤其是在文件的开头和结尾处，则无需支付解密器费用即可成功重建和恢复文件的机会就会增加。

White Phoenix 尝试通过连接未加密的部分以及反转十六进制编码和 CMAP（字符映射）加扰来恢复文档中的文本。

White Phoenix 基本上是数据恢复专家使用的自动手动恢复工具，因此根据文件类型和勒索软件，解密器可能无法很好地工作。文件中的某些字符串需要可读，具体取决于其类型，解密器才能正常工作。例如，ZIP 文件必须包含“PKx03x04”字符串，PDF 需要包含“0 obj”和“endobj”。

对于包含图像文件的 PDF，CyberArk 建议检查“单独文件”选项以保障其安全性。

即使 White Phoenix 无法帮助恢复整个系统，它仍然可以帮助恢复有价值的文件或至少从中检索一些数据。

目前，上述勒索软件系列还没有可用的解密器，因此恢复选项非常有限。如果正在处理敏感信息，建议从 GitHub 下载 White Phoenix 并在本地使用，而不是将敏感文档上传到 CyberArk 的服务器。

参考及来源：https://www.bleepingcomputer.com/news/security/online-ransomware-decryptor-helps-recover-partially-encrypted-files/