本文章就以.dewar后缀为例讲解,.eking类似。
.dewar后缀勒索病毒为Phobos系列新版勒索病毒,这个系列的创造者经验丰富,网络上没有任何相关信息。勒索病毒会加密您计算机计算机上的文件,并要求勒索赎_金以据称还原它们。
勒索病毒Phobos系列很多种类我整理排列如下
.1500dollars
.actin .Acton .actor .Acuff .Acuna .acute .adage .Adair .Adame
.banhu .banjo .Banks .Banta .Barak .bbc .blend .BORISHORSE .bqux
.Caleb .Cales .Caley .calix .Calle .Calum .Calvo .CAPITAL .com
.DDoS .deal .deuce .Dever .devil .Devoe .Devon .Devos .dewar(本文主题)
.eight .eject .eking .Elbie .elbow .elder
.Frendi
.help
.KARLOS .karma
.mamba
.phobos .phoenix .PLUT
.ROGER
.WALLET
.zax
病毒传播
.dewar病毒传播给受害者,会通过发送电子邮件副本和托管网络钓鱼站点来散播,这些站点在冒充公司和服务登录页面。它们可以携带受感染的文件(比如word文件宏感染的文档或著名软件的设置文件),当用户启动它们时,内置代码将导致.dewar病毒感染。当然还有其他方式传播比如将必要的文件上传到包括BitTorrent在内的文件共享网络扩散感染。
病毒引擎常见措施包括:
【病毒安装】.dewar病毒的安装在计算机开机时自动启动感染。
【修改系统注册表】对主机进行编程得出Windows注册表中存储的值,可能会导致数据丢失,意外错误以及无法启动某些程序。
【其他病毒感染】.dewar病毒可用于将其他恶意软件安装到目标计算机。例如加密货币矿工,浏览器劫持和特洛伊***。
【数据收集】病毒进行编程以收集有关用户及其机器的敏感信息。比如根据已安装硬件组件,从而生成唯一的ID,可以使用它们来识别各个计算机。
.dewar勒索病毒引擎将最受欢迎的文件作为目标,可能包括:数据库,文档,多媒体文件,备份,档案等。都将加密成后缀为.dewar的文件。
删除勒索病毒的步骤:
步骤一: 以安全模式启动PC来隔离和删除.dewar病毒
- 按住Windows键 + R
- 将出现“ 运行 ”窗口。在其中键入“ msconfig ”,然后单击“ 确定”。
- 转到“启动”标签。在此处选择“安全启动”,然后单击“应用”和“确定”。
- 出现提示时,单击“ 重新启动 ”以进入安全模式。
- 您可以通过屏幕角落上的文字“安全模式SafeMode”来识别安全模式。
步骤二: 从Windows卸载.dewar病毒和相关软件 - 按住“Windows键 + R ”。将会出现一个弹出窗口。
- 在字段中输入“ appwiz.cpl ”,然后按Enter。
这将打开一个窗口,其中包含PC上安装的所有程序。选择要删除的病毒相关程序,然后按“ 卸载 ”
步骤三: 清除计算机上由.dewar病毒创建的所有注册表。
Windows计算机通常具有针对性的注册表如下:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
提示:要查找病毒创建的值,可以右键单击它,然后单击“修改”以查看值设置为运行哪个文件。如果是指向病毒文件的位置,请删除该值。
步骤四: 用杀毒软件扫描杀毒整个电脑磁盘。
步骤五: 备份所有被加密的文件,以防数据丢失或二次破坏无法找回。
步骤六:寻找解密文件方法或许我可以帮祝您。
安全防范:
多年修复病毒文件经验建议如下:1.多台机器,不要使用相同的账号和口令。2.登录口令要有足够的长度和复杂性,并定期更换登录口令。3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份。4.定期检测系统和软件中的安全漏洞,及时打上补丁。5.定期到服务器检查是否存在异常。查看范围包括:a)是否有新增账户;b) Guest用户是否被启用;c) Windows系统日志是否存在异常;d)杀毒软件是否存在异常拦截情况。6.安装安全防护软件,并确保其正常运行。7.从正规渠道下载安装软件,不要打开垃圾邮件链接或附件。8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。 9.关闭网络端口135-139、445、1433、3000-7000、7070、63333 以防***。10.重要事情说三遍,重要数据一定要定时及时备份。
【服务器用户警示】远程桌面端口要改用复杂端口,密码也改为复杂密码,及时打系统补丁。尽量不用第三方远程软件或者临时用完就卸载。系统被感染后插入外接硬盘或者共享空间也会感染,注意感染扩散。
来源:oschina
链接:https://my.oschina.net/u/4299887/blog/4458273