关于勒索软件的文章 - 恶意软件加密您的个人文件或阻止您访问您的计算机 - 以及删除它的方法
Sigma 勒索软件通过包含嵌入宏的 .docx 或 .rtf 附件的垃圾邮件分发。 如果用户启用了宏,则会执行脚本并下载勒索软件。 与大多数勒索软件不同,Sigma 不会为加密文件添加新的扩展名,只是在包含加密文件的文件夹中创建勒索笔记(ReatMe.txt 和 ReadMe.html)。 据支付赎金的用户称,在撰写本文时,还没有免费的解密器,而且勒索软件开发人员提供的用于支付赎金的解密器也不能很好地工作。 据说解密器在遇到某些类型的文件时会崩溃,因此某些文件会保持加密状态。 除了解密文件之外,还有一些文件恢复方法在每种特定情况下可能有效,也可能无效。 您可以按照本指南删除 Sigma 并尝试恢复加密文件。
CrySiS 或 Dharma 勒索软件会加密受感染计算机上的文件,并颠覆加密文件的多个扩展名之一。 最新的变体使用 .arrow (.[marat20@cock.li].arrow, .[blammo@cock.li].arrow, .[java2018@tuta io].arrow, .[helprestore@cock.li].arrow)延期。 现在没有免费的解密器,而且可能永远不会有。 CrySiS 的前两个变体(.crysis 和 .dharma)最终发布了免费解密器,但到目前为止,后来的变体(.wallet、.arena、.cesar、.java)都没有发布。 如果您的文件已被 CrySiS 加密而您没有备份,最好的办法是备份加密文件,以防将来免费解密工具发布,同时尝试一些文件恢复方法可能能够恢复至少一些文件。
GandCrab2 是 GandCrab 勒索软件的新版本。 对于使用 .GDCB 扩展名加密文件的 GandCrab 的第一个变体,免费解密器于上周发布。 GandCrab2 将 .CRAB 扩展名颠倒为加密文件,并且据说 Bitdefender 的免费解密工具无法解密。 在撰写本文时,几乎没有关于 GandCrab2 的信息,也不知道它是否可以免费解密。 如果 GandCrab2 对您的文件进行了加密,您可以等待有关此勒索软件的更多数据发布或尝试以下文件恢复方法。 不要删除您的赎金记录 (CRAB-DECRYPT.txt),也不要让您的防病毒软件删除它,因为将来成功解密可能需要它。
GandCrab 勒索软件目前正在积极传播,并使用几种不同的方式感染计算机。 用户可以在打开垃圾邮件中的 PDF 附件后下载此勒索软件(这将打开一个 Word 文档,要求用户启用编辑)。 或者,例如,他们可能会遇到“找不到 HoeflerText' 字体”骗局页面并下载并运行提供的文件。 GandCrab 勒索软件将 .GDCB 扩展名添加到它加密的文件中,并将带有解密指令的 GDCB-DECRYPT.txt 文件转储到每个文件夹。 在撰写本文时,GandCrab 仍是一种新的勒索软件变种,安全专家尚未对其进行研究。 到目前为止,还没有免费的 GandCrab 解密器存在(并且不能保证它会被创建——如果研究人员在勒索软件代码中发现一些错误,这将允许他们获取解密密钥,或者,例如,如果有人访问GandCrab 的命令和控制服务器存储密钥)。 但是,还有一些其他方法可以恢复 GandCrab 加密文件,这些方法在每种情况下都可能有效,也可能无效。
Saturn 是一种新的勒索软件变种,目前正在积极传播。 Saturn 有自己的附属计划,让任何人都可以创建一个帐户,下载他们自己的 Saturn 加密器版本并分发它,当受害者支付赎金时,赚取收入分成。 因此,土星可能以多种不同的方式分发(垃圾邮件、要求用户下载内容的弹出窗口、RDP 暴力攻击等),并且要求的赎金金额可能会有所不同。 一旦在计算机上,土星加密器会加密用户的文件,并将#DECRYPT_MY_FILES#.txt 和#DECRYPT_MY_FILES#.html 赎金票据和#KEY-[user-id].KEY 文件放入每个文件被加密的文件夹中。 不幸的是,研究过土星的安全研究人员表示,它使用安全的加密方法,没有解密密钥就无法解密文件。 如果 Saturn 的创建者将来向所有人发布解密密钥(这在之前的几个勒索软件变体中已经发生过)或者如果他们的命令和控制服务器被执法部门扣押,那么免费恢复文件的可能性仍然很小。 还有一些文件恢复方法可以工作并恢复至少一些加密文件。 您可以使用以下说明从您的计算机中删除 Saturn 并尝试恢复加密文件。
如果您的文件已被加密,并且已将 .id-[your-id].[contact-email].java 扩展名添加到其中,那么这就是 Crysis (Dharma) 勒索软件的最新变体。 该勒索软件利用不安全的 RDP 设置(通常是弱密码)进入机器并加密所有可能对用户/公司重要的文件(通过针对某些文件类型)。 孤岛危机勒索软件使用强大的加密方法,到目前为止,安全研究人员无法找到允许他们创建解密器的漏洞。 然而,Crysis 勒索软件的两个最初版本——.crysis 和 .dharma——将它们的主解密密钥匿名发布在计算机安全论坛上,使防病毒供应商可以创建解密工具。 当然,这些工具仅适用于由这两种勒索软件变体加密的文件,而不适用于 .java 文件。 在撰写本文时,不存在 .java 勒索软件的免费解密器,但是您可以使用其他一些方法来恢复加密文件。
这种勒索软件变种被称为 圣甲虫 由于它添加到加密文件的扩展名; 它至少从今年 7 月被安全研究人员发现以来就已经存在。 最近,Scarab 的活动迅速增加,主要通过带有 XNUMXZip 存档的垃圾邮件发送给用户,其中包含假定的扫描文档图像。 一旦打开,这些“图像”(实际上是 Visual Basic 脚本文件)将下载并启动 Scarab 勒索软件可执行文件。 Scarab 会扫描计算机以查找最常见的文件类型,创建这些文件的加密版本并删除原始文件。
至少有两个勒索软件变体使用 .arena 扩展名来加密文件:来自 Crysis (Dharma) 勒索软件系列的 Arena 和来自 CryptoMix 系列的 Arena。 Crysis 的 Arena 通常通过远程桌面服务 (RDP) 感染计算机。 它使用强大的加密算法加密文件,该算法被认为是牢不可破的,并将 .id-[your-id].[contact-email].arena 颠倒为文件名。 从我们收集的信息来看,用户被要求在前 0.5 小时内支付 24 个比特币,然后再支付 1 个比特币。 这个 Arena 将在您每次登录 Windows 时自动启动,并将加密自上次运行以来创建的新文件。 Crysis 的 Arena 将创建名为 info.hta 和 FILES ENCRYPTED.txt 的赎金票据(带有简短的文本“您的所有数据已被我们锁定您想返回?写电子邮件 [联系电子邮件]”)。
CryptoMix 的 Arena 将加密文件的名称修改为十六进制字符串并颠倒 .arena 扩展名。 其赎金票据名为_HELP_INSTRUCTION.TXT。
不幸的是,两个 Arena 版本目前都没有免费的解密器。 但是,您可以尝试其他一些恢复加密文件的方法。
Locky 是勒索软件,与许多其他软件没有什么不同:它会加密用户的文件并要求为解密工具付费。 存储在云服务中的文件和本地网络上的共享文件也经过加密,因此取回文件的唯一可靠方法是从离线备份中恢复。 即使支付赎金也不是一种可靠的方法:一些用户报告说解密工具无法解密所有文件。 但是,某些方法(例如从卷影副本还原文件)在某些情况下可能有效。 如果您被击中并想了解如何 删除 Locky 并解密您的文件,你可以阅读这篇文章。