.war勒索病毒如何刪除它 .war字尾檔案資料恢復(Dharma)
安全人員發現了另一種Dharma勒索病毒。使用此勒索軟體支援感染活動的黑客已選擇特定副檔名.war進行迭代。一旦此威脅訪問您的裝置,它就會實施一系列惡意活動,以便能夠利用複雜的密碼演算法,從而加密有價值的資料。這些活動的目的是勒索贖金。因此,在攻擊結束時,勒索軟體會在螢幕上載入贖金訊息,並強制您與黑客聯絡,以獲取有關如何恢復.war檔案的更多資訊。
| 名稱 | .war檔案病毒 |
| 型別 | 勒索軟體,Cryptovirus |
| 簡短的介紹 | CrySyS / Dharma勒索軟體系列的一個版本,旨在加密儲存在受感染計算機上的有價值檔案,然後勒索受害者的贖金。 |
| 症狀 | 重要檔案已加密,並使用副檔名.war重新命名。PC螢幕上會顯示贖金記錄,以顯示贖金付款說明。 |
| 分配方法 | 垃圾郵件,電子郵件附件 |
.war勒索病毒 - 分發
有幾個渠道可用於分發Dharma .war勒索軟體。其中一種方法叫做malwspam。它為黑客提供了通過大規模電子郵件活動傳播惡意攻擊的機會。他們的惡意軟體通常嵌入在任何常見型別的檔案中。在電子郵件中,它們通常由任何合法的商業或服務傳送。不幸的是,他們的目的是誘騙您開啟裝置上損壞的檔案,這樣就會觸發勒索軟體的有效負載。各種常見的檔案型別(如文件,PDF,影象)可以轉換為勒索軟體程式碼的載體。
這些檔案通常顯示如下:
- 來自信譽良好的網站的發票,如PayPal,eBay等。
- 來自似乎是受害者銀行的檔案。
- 線上訂單確認單。
- 收貨購買。
- 其他。
惡意軟體作者也可能使用受感染的網站來傳播這種Dharma勒索軟體感染的變種。此方法使他們能夠將勒索軟體配置檔案上載到受感染的網頁,並在註冊訪問此頁面後設置其自動執行。
.war勒索病毒 - 概述
這種威脅被稱為.war勒索病毒的原因是它附加到每個加密檔案的同名副檔名。正如安全研究人員所確認的那樣,這種威脅是臭名昭著的Dharma勒索軟體。實際上,它出現在惡意軟體場景之後,在同一個勒索軟體系列的許多其他相對較新的應變之後。就像它的前輩一樣
Dharma .adobe,Dharma .btc,Dharma .brrr,Dharma .myjob和其他許多人,Dharma .war攻擊各種機器的作業系統,以便訪問儲存在驅動器上的有價值資料。
在PC上執行其有效負載檔案後不久,就會發現許多系統更改。這些更改是由勒索軟體執行的許多惡意活動引起的。在攻擊期間應用的惡意活動中可以修改登錄檔系統金鑰。通常,目標鍵是Run和RunOnce,因為它們管理自動執行在每個系統啟動時載入的所有基本系統檔案。因此,以下是您應該訪問的位置,以便檢查是否存在任何惡意條目:
→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
當.war檔案病毒實現所有初始洩密時,它會觸發內建加密模組,以便對屬於其目標資料列表的所有檔案進行編碼。不幸的是,它可能會編碼儲存有價值資料的所有型別的檔案,包括:
- 音訊檔案。
- 影片。
- 影象檔案。
- 資料庫。
- 檔案。
一旦檔案被這個加密病毒加密,它就會收到幾個副檔名,其中最後一個是副檔名.war。在它之前,您可以看到與黑客相關聯的電子郵件地址。同樣的電子郵件可以在Dharma .war提供的文字中看到,其中包含一個名為FILES ENCRYPTED.txt的檔案。本說明的目的是強迫您與黑客聯絡,以便他們可以向您傳送有關如何恢復.war檔案的更多詳細資訊。通常這隻有在你用比特幣支付贖金後才有可能。
刪除.war勒索病毒和還原資料
所謂的.war勒索病毒是一種威脅,其程式碼非常複雜,不僅困擾著你的檔案,也困擾著整個系統。因此,在您可以再次使用之前,應該對受感染的系統進行適當的清潔和保護。您可以在下面找到有助於嘗試刪除此勒索軟體的分步刪除指南。如果您以前有惡意軟體檔案的經驗,請選擇手動刪除方法。
為了確保您的系統在將來免受勒索軟體和其他型別的惡意軟體的侵害,您應該安裝並維護可靠的反惡意軟體防毒程式。可以防止勒索軟體攻擊。
請注意,在資料恢復過程之前,您應該將所有加密檔案備份到外部驅動器,因為這樣可以防止其不可逆轉的丟失。
1.以安全模式啟動PC以隔離和刪除.war勒索病毒檔案和物件
手動刪除通常需要時間,如果不小心,您可能會損壞您的檔案!
對於Windows XP,Vista和7系統:
1.刪除所有CD和DVD,然後從“ 開始 ”選單重新啟動PC 。
2.
- 對於具有單個作業系統的PC:在計算機重新啟動期間出現第一個引導屏幕後,反覆按“ F8 ”。如果Windows徽標出現在螢幕上,則必須再次重複相同的任務。
- 對於具有多個作業系統的PC:箭頭鍵可幫助您選擇您希望以安全模式啟動的作業系統。按照單個作業系統所述,按“ F8 ”。
3.出現“ 高階啟動選項 ”螢幕時,使用箭頭鍵選擇所需的安全模式選項。使用管理員帳戶登入計算機。當您的計算機處於安全模式時,螢幕的所有四個角都會出現“ 安全模式 ” 字樣。
4.修復PC上惡意軟體和PUP建立的登錄檔項。可以參照連結 修復由惡意病毒軟體引起的Windows登錄檔錯誤
2.在PC上查詢.war 勒索建立的檔案
在較舊的Windows作業系統中,傳統方法應該是有效的方法:
1.單擊“ 開始選單”圖示(通常在左下角),然後選擇“ 搜尋”首選項。
2.出現搜尋視窗後,從搜尋助手框中選擇更多高階選項。另一種方法是單擊“ 所有檔案和資料夾”。
3.之後,鍵入要查詢的檔案的名稱,然後單擊“搜尋”按鈕。這可能需要一些時間才能顯示結果。如果您找到了惡意檔案,可以通過右鍵單擊來複製或開啟其位置。現在,您應該能夠在Windows上發現任何檔案,只要它在您的硬碟驅動器上並且不通過特殊軟體隱藏。
3.使用防惡意防毒軟體工具掃描惡意軟體和惡意程式
4.嘗試還原.war 勒索病毒加密的檔案
方法1:使用資料恢復軟體掃描驅動器的扇區。
方法2:使用Shadow Explorer
方法3:在密碼病毒通過網路通過嗅探工具傳送解密金鑰時查詢解密金鑰。
方法4:嘗試一些防毒軟體的解密器。
.myjob勒索病毒刪除+.myjob字尾檔案恢復(Dharma)可參照連結
關注服務號,交流更多解密檔案方案和恢復方案:
