.santa勒索病毒如何刪除 .santa字尾檔案如何恢復(Dharma)
一個新的Dharma勒索病毒變種已經在冬季假期出現,帶有.santa副檔名,它會新增到加密檔案中,以勒索受害者為其加密的檔案支付贖金費。如果您的計算機已被這種CrySiS/Dharma勒索軟體變種感染
名稱 | Dharma .santa病毒 |
型別 | 勒索軟體,Cryptovirus |
簡短的介紹 | 目的是加密受其感染的計算機上的檔案並將其作為要挾,直到受害者支付贖金來解密它們並使它們再次可用。 |
症狀 | 主要症狀是給所有檔案新增.santa字尾副檔名。 |
分配方法 |
垃圾郵件,電子郵件附件,可執行檔案 |
Dharma .santa 勒索病毒- 分發方法
對於傳染給定計算機的Dharma勒索病毒,傳播它的人可能會使用不同的傳播方法。最常用的一種方法是通過向他們傳送包含被感染檔案的電子郵件來利用毫無戒心的使用者,這些電子郵件被遮蔽為合法附件,例如:
- 發票。
- 收貨購買。
- 銀行檔案。
- 其他型別的檔案。
除此之外,Dharma勒索軟體還可能通過其他方式感染使用者,例如在受影響的WordPress網站上感測染檔案,他們可能會假裝:
- 補丁。
- 行動式程式。
- 遊戲裂縫。
- 軟體啟用器。
- 鑰匙發電機。
Dharma .santa 勒索病毒 - 活動
當Dharma的.santa變種被放置在受害者的計算機上時,惡意軟體可能會丟棄其有效負載,這些負載可能位於以下Windows目錄中:
- %AppData%
- %Local%
- %LocalLow%
- %Roaming%
- %Temp%
刪除後,可能會執行此勒索軟體的惡意檔案,其結果是它可能會對受感染計算機上的以下惡意活動造成影響:
- 建立互斥鎖。
- 在Windows的登錄檔編輯器中建立條目。
- 刪除備份。
- 安排任務。
- 禁用Windows恢復。
- 換桌布。
- 設定贖金票據自動開啟。
- 修改Windows系統檔案和物件。
在佛法.santa勒索軟體可以修改Run和RunOnce登錄檔鍵和主要思想,以自動執行該病毒的惡意檔案。這些子鍵具有以下Windows位置:
→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
但這並不是全部。Dharma .santa病毒還可以通過以管理員身份執行以下命令來刪除受害者計算機上的備份檔案:
→sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
Dharma .santa 勒索病毒- 加密過程
Dharma勒索軟體的這種變體可以加密具有以下副檔名的檔案:
→.ebd,.jbc,.pst,.ost,.tib,.tbk,.bak,.bac,.abk,.as4,.asd,.ashbak,.backup,.bck,.bdb,.bk1 ,. bkc,.bkf,
.bkp,.boe,.bpa,.bpd,.bup,.cmb,.fbf,.fbw,.fh,.ful,.gho,.ipd,.nb7,.nba,.nbd, .nbf,.nbi,.nbu,.nco,
.oeb,.old,.qic,.sn1,.sn2,.sna,.spi,.stg,.uci,.win,.xbk,.iso,.htm ,.html,.mht,.p7,.p7c,.pem,.sgn,
.sec,.cer,.csr,.djvu,.der,.stl,.crt,.p7b,.pfx,.fb ,. fb2,.tif,.tiff,.pdf,.doc,.docx,.docm,.rtf,
.xls,.xlsx,.xlsm,.ppt,.pptx,.ppsx,.txt,.cdr,.jpe, .jpg,.jpeg,.png,.bmp,.jiff,.jpf,.ply,.pov,.raw,
.cf,.cfn,.tbn,.xcf,.xof,.key,.eml,.tbb ,.dwf,.egg,.fc2,.fcz,.fg,.fp3,.pab,.oab,.psd,.psb,.pcx,
.dwg,.dws,.dxe,.zip,.zipx,.7z,.rar,.rev,.afp,.bfa,.bpk,.bsk,.enc,.rzk,.rzx,.sef,.shy ,.snk,.accdb,
.ldf,.accdc,.adp,.dbc,.dbx,.dbf,.dbt,.dxl,.edb,.eql,.mdb,.mxl,.mdf,.sql ,. sqlite,.sqlite3,.sqlitedb,
.kdb,.kdbx,.1cd,.dt,.erf,.lgp,.md,.epf,.efb,.eis,.efn,.emd,.emr,.end, .eog,.erb,.ebn,.ebb,.prefab,
.jif,.wor,.csv,.msg,.msf,.kwm,.pwm,.ai,.eps,.abd,.repx,.oxps ,.dot。,/ p>
除此之外,.santa變種od Dharma勒索軟體如果位於以下Windows目錄中,則會跳過加密檔案,以便受害者仍然可以使用他或她的計算機支付贖金:
%Local%
%Temp%
%Windows%
%System%
%Program Files%
%System32%
為了加密受害計算機上的檔案,Dharma勒索軟體的這種變體可能會建立這些檔案的副本,然後刪除這些檔案的原始版本。通過這種方式,病毒可確保恢復加密檔案變得非常困難。加密檔案具有.santa副檔名,它們如下所示:
刪除Dharma.santa並恢復.santa病毒檔案
如果您想刪除.santa變種的Dharma勒索軟體,我們建議您按照本文下面的刪除說明進行操作。它們分為手動和自動刪除說明,其主要思想是根據您的技能組合幫助您刪除此病毒。如果手動刪除不適合您,專家總是建議自動刪除Dharma勒索軟體,藉助先進的反惡意軟體軟體。此類工具將通過檢測所有相關的惡意物件並將其刪除,從而有效地確保此感染的病毒檔案自動從您的計算機中消失。在進行手動刪除和恢復過程中,切記先備份加密後的檔案再進行操作,以免傳送意外損壞
1.以安全模式啟動PC以隔離和刪除Dharma .santa病毒檔案和物件
手動刪除通常需要時間,如果不小心,您可能會損壞您的檔案
對於Windows XP,Vista和7系統:
1.刪除所有CD和DVD,然後從“ 開始 ”選單重新啟動PC 。
2。選擇以下兩個選項之一:
- 對於具有單個作業系統的PC:在計算機重新啟動期間出現第一個引導屏幕後,反覆按“ F8 ”。如果Windows徽標出現在螢幕上,則必須再次重複相同的任務。
- 對於具有多個作業系統的PC:箭頭鍵可幫助您選擇您希望以安全模式啟動的作業系統。按照單個作業系統所述,按“ F8 ”。
3.出現“ 高階啟動選項 ”螢幕時,使用箭頭鍵選擇所需的安全模式選項。使用管理員帳戶登入計算機。當您的計算機處於安全模式時,螢幕的所有四個角都會出現“ 安全模式 ” 字樣
4.修復PC上惡意軟體和PUP建立的登錄檔項。修復由惡意病毒軟體引起的Windows登錄檔錯誤
2.在您的PC上查詢由Dharma .santa 勒索病毒建立的檔案
在較舊的Windows作業系統中,傳統方法應該是有效的方法:
1.單擊“ 開始選單”圖示(通常在左下角),然後選擇“ 搜尋”首選項。
2.出現搜尋視窗後,從搜尋助手框中選擇更多高階選項。另一種方法是單擊“ 所有檔案和資料夾”。
3.之後,鍵入要查詢的檔案的名稱,然後單擊“搜尋”按鈕。這可能需要一些時間才能顯示結果。如果您找到了惡意檔案,可以通過右鍵單擊來複製或開啟其位置。現在,您應該能夠在Windows上發現任何檔案,只要它在您的硬碟驅動器上並且不通過特殊軟體隱藏。
3.使用防惡意防毒軟體工具掃描惡意軟體和惡意程式
4.嘗試恢復由Dharma .santa 勒索病毒加密的檔案
方法1:使用資料恢復軟體掃描驅動器的扇區。
方法2:嘗試解密器。
方法3:使用Shadow Explorer
方法4:在密碼病毒通過網路通過嗅探工具傳送解密金鑰時查詢解密金鑰。
.bkpx勒索病毒如何刪除 .bkpx字尾檔案資料恢復(Dharma)可參照連結
關注服務號,交流更多解密檔案方案和恢復方案: