搜索
查看: 2761|回复: 0

[水] WannaCry Ransomware解决方案

[复制链接]
发表于 2017-5-14 23:46:36 | 显示全部楼层 |阅读模式
注:此方案并不能保证能完美解决,只是提供一种方案,毕竟楼主并没感染此病毒,纯属搬运(谷歌渣翻)
—————————————————————
WannaCry Ransomware描述
WannaCry ransomware是新发现的病毒威胁,已被证明对受感染的计算机非常危险。最初的安全分析表明,它也是以WannaCryptor ransomware的别名分发的,它来源于Wcry ransomware系列。
核心威胁使用AES-128密码来定位预定义文件类型扩展名单,其中包括以下内容:
.123,.3dm,.3ds,.3g2,.3gp,.602,.7z,.aes,.ai,.ARC,.asc,.asf,.asp,.avi,.backup,.bak,.bmp ,.brd,.c,.cgm,.class,
.cpp,.crt,.cs,.csr,.csv,.db,.dbf,.dch,.dif,.dip,.doc,.docb。 docm,.docx,.dot,.dotm,.dotx,.dwg,.edb,.eml,.fla,.flv,
.frm,.gif,.gpg,.gz,.hwp,.ibd, .java,.jpeg,.jpg,.js,.jsp,.key,.lay,.lay6,.ldf,.m3u,.m4u,.max,.mdb,.mdf,.mid,.mkv,
.mml ,.mov,.mp3,.mp4,.mpeg,.mpg,.msg,.myd,.myi,.n,.nef,.odb,.odg,.odp,.ods,.odt,.ost。 otg,.otp,.ots,.ott,.p12,.PAQ,
.pas,.pdf,.pem,.php,.pl,.png,.pot,.potm,.potx, .ppsm,.ppsx,.ppt,.pptm,.pptx,.psd,.pst,.rar,.raw,.rb,.rtf,
.sch,.sh,.sin,.slk,.sql,.sqlite3 ,.sqlitedb,.stc,.std,.stw,.suo,.swf,.sxc,.sxd,.sxm,.sxw,.tar,.tarbz2,.tbk,.tgz,.tif,
.tiff ,。txt,.uop,.uot,.vb,.vdi,.vmdk,.vmx,.vob,.vsd,.vsdx,.wav,.wb2,.wk1,.wks,.wma,.wmv,.xlc, .xlm,.xls,.xl**,.xlsm,
.xlsx,.xlt,.xltm,.xltx,.xlw,.zip
原始的Wcry ransomware被签署为一个防伪的记录应用程序,然后通过各种不同的策略分发给受害者 - 批量电子邮件,受感染的软件安装程序,恶意广告和重定向等。所有受影响的数据都使用。 wcry扩展,我们怀疑新菌株也使用它。此外,核心威胁还会删除本地机器上可用的所有Shadow Volume Copies,从而防止数据恢复而无需使用专业级解决方案。
事实上,恶意病毒也是以几个随机命名的二进制文件进行的,这使攻击者很方便地将其传播到各种用户到大型组织和组织的各种目标。
由于完整的分析尚不可用,我们怀疑新创建的WannaCry ransomware可能包含其他功能。可以连接到主病毒引擎的模块包括:
持久性 - 病毒引擎可能会创建一些允许威胁在受感染计算机上保持不间断活动的条件。这通常是通过修改Windows设置,注册表文件,引导命令和其他重要变量来实现的。通常,病毒只能通过使用优质的反恶意软件解决方案来删除。
配置错误 - 某些病毒会调整Windows设置或重要应用程序的故障影响性能或关闭选项或功能。
有效载荷滴管 - WannaCry ransomware的演进版本可能包含一个可用于向受感染主机提供其他病毒的有效载荷滴管。WannaCry ransomware还可以为网络浏览器建立各种浏览器劫持者或其他扩展,可以收集存储的帐户凭据,Cookie和网络搜索历史。
信息提取 - 此病毒的高级形式可用于从受感染的计算机中提取有价值的数据。黑客可以设置预定义的目标数据配置或使用网络命令来随意收获信息。根据引擎,可以对网络流量进行加密以实现更安全的传输。
远程控制 - 最近一些进化的应变包括可以用于远程控制受感染机器的木马模块。黑客可以选择完全控制电脑或间谍活动,包括实时视频监控,按键记录和其他类型的恶意活动。
感染后,病毒遵循与Wcry引擎相关的基本行为模式。它启动其加密引擎,其目标是文件类型扩展名的预定义列表。由于这仅仅是一个新的应变,并没有太多新的增加,我们怀疑病毒是同一个目录(见上文)。
一如以往,本地机器的卷卷副本将被删除,以防止数据恢复。您可以使用专业级数据恢复解决方案恢复文件(请参阅下面的删除说明)。我们怀疑未来的迭代甚至可能包含一个网络蠕虫,可以通过内部网络传播。
这种应变与一些原始的Wcry ransomware样本之间有什么不同之处在于,一旦加密过程完成,就会建立屏幕锁以及标准的ransomware笔记。这可以防止正常的用户与感染的计算机进行交互,直到病毒被删除。
将显示以下消息:
Ooops,您的重要文件被加密。
如果您看到这个文本,但是看不到“想要解密”窗口,那么您的防病毒软件会删除解密软件,或者从计算机中删除它。
如果您需要您的文件,您必须从防病毒隔离区恢复“Wanna Decryptor”,或从以下地址下载:
xxxxs://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl = 1
运行“Wanna解密器“来解密你的文件!
除了链接到名为“m.rar”的小型存档的Dropbox文件托管站点的链接之外,没有给出特定的说明。它是密码保护的,可能还包含另一种病毒本身。病毒扫描程序无法有效扫描这些文件,这就是为什么所有用户都应该使用优质的反恶意软件解决方案来保护自身的原因。
WannaCry ransomware病毒文件
有些用户报告说成功安装黑客提供的“decryptor”。它本身显示一个相当简单的应用程序,要求在比特币中支付300美元的赎金费用。为了强迫用户支付这笔钱,黑客们还使用了另外两个额外的社交工具:
如果费用在短时间内没有支付,则使用“付款筹集”。
使用最后的时限。黑客经营者表示,除非付款,文件访问将会丢失。
WannaCry ransomware应用程序窗口
为了计算感染的时间,病毒引擎在感染的第一阶段使用从机器提取的几个数据。与往常一样,黑客提供了有关受害者如何获得数字货币并向他们支付费用的详细信息。
       感染情况
WannaCry ransomware在全球分布在世界各地,并针对使用英语的用户。有限数量的恶意软件样本显示,我们已经能够在相对较短的时间内发现感染。
由于病毒感染数量有限,我们无法判断哪种是主要的方法,但是我们怀疑黑客运营商使用最流行的方法。
恶意软件运营商使用的主要策略之一是与发送网络钓鱼垃圾邮件相关联。犯罪分子通常使用身体文字,图形和内容,似乎是从一个知名和合法的用户,个人,公司或政府机构发送的。根据感染类型,病毒可以直接连接,通过脚本下载进行超链接或下载。这通常是通过附加可能看起来像用户兴趣的各种文档(例如发票,字母等)来实现的。当用户与他们交互时,恶意宏或其他类型的脚本从远程服务器下载病毒并感染本地计算机。
另一种可能性是使用黑客或黑客控制的网站,门户网站和恶意广告。他们通常将垃圾邮件和病毒作为免费或试用版本的流行软件(应用程序,游戏,实用程序或补丁)进行传播。恶意广告网络也起到了这个作用,同时为运营商创造了收入。
使用受感染的软件安装程序与以前的策略相关。这些实例也与盗版内容分发的BitTorrent跟踪器相关联。浏览器劫持者是另一种情况,其中这种恶意浏览器扩展不仅可以更改安装的浏览器(Google Chrome,Mozilla Firefox,Microsoft Edge和Internet Explorer)的设置,还可以从事其他危险操作 - 检索敏感信息,如存储的帐户凭据,Cookie和网络搜索历史。
自动进行自动漏洞入侵尝试和直接黑客攻击的漏洞利用工具包也可能导致WannaCry ransoomware感染。
       WannaCry Ransomware Ransomware删除
步骤I: 使用网络启动安全模式的PC
将隔离所有由ransomware创建的文件和对象,以便高效地删除它们。
1)击中WIN键 + R
Windows的关键加-R键式启动,运行的box-in-Windows的说明
2)出现运行窗口。在其中写入“ msconfig ”,然后按Enter键
3)出现配置框。在其中选择名为“ 启动 ” 的选项卡
4)标记“ 安全启动 ”选项,然后转到其下的“ 网络 ”以勾选它
5) 应用 - > 确定

234635wmd80c8qvzk4dqer.jpg


第二步: 显示隐藏的文件
1)打开我的电脑 / 这台电脑
2)Windows 7
- 单击“ 组织 ”按钮
- 选择“ 文件夹和搜索选项 ”
- 选择“ 查看 ”选项卡
- 在“ 隐藏的文件和文件夹 ” 下方,并标记“ 显示隐藏的文件和文件夹 ”选项
3) Windows 8/10
- 打开“ 查看 ”选项卡
- 标记“ 隐藏项目 ”选项
显示隐藏文件,win8-10
4)单击“ 应用 ”,然后单击“ 确定 ”按钮
步骤III: 进入Windows任务管理器并停止恶意进程
1)按以下组合键:CTRL + SHIFT + ESC
2)转到“ 进程 ”
3)当您发现可疑进程时,右键单击并选择“ 打开文件位置 ”
4)返回任务管理器并结束恶意处理。再次右键单击并选择“ 结束进程 ”
5)接下来,您应该去恶意文件所在的文件夹并将其删除
第四步: 使用SpyHunter反恶意软件工具删除完全WannaCry Ransomware Ransomware
手动删除WannaCry Ransomware需要熟悉系统文件和注册表。删除任何重要数据可能会导致永久性系统损坏。防止这个麻烦的效果 - 删除WannaCry Ransomware ransomware与SpyHunter恶意软件删除工具。
下载:download.enigmasoftware.com/spyhunter-free-download/bestsecuritysearch.com/SpyHunter-Installer.exe
步骤V: 修复Windows注册表
1)再次同时键入Windows按钮 + R组合键
2)在框中写入“ regedit ”(不带反转逗号),然后按Enter键
3)键入CTRL + F,然后将搜索类型字段中的恶意名称写入找到恶意的可执行文件
4)如果您发现了与该名称相关的注册表项和值,则应删除它们,但请注意不要删除合法密钥
步骤VI: 恢复WannaCry文件
SpyHunter反恶意软件工具将诊断计算机上的所有当前威胁。通过购买完整版本,您将能够立即删除所有恶意软件威胁。有关SpyHunter / 帮助卸载SpyHunter的其他信息
如何恢复WannaCry文件
1)使用现有备份
2)使用专业的数据恢复软件
- 恒星凤凰数据恢复 - 一种专门的工具,可以恢复分区,数据,文档,照片和300多种文件类型,在各种类型的事件和损坏中丢失。
3)使用系统还原点
- 命中WIN键
- 选择“ 打开系统还原 ”,然后按照步骤进行操作
恢复 - 文件 - 使用 - 系统恢复点
4)使用文件历史恢复您的个人文件
- 命中WIN键
- 在搜索框中键入“ 还原文件 ”
- 选择“ 使用文件历史恢复文件 ”
- 选择文件夹或在搜索栏中输入文件的名称
恢复,您的个人档案 - 使用 - 文件 - 历史 - bestecuritysearch
- 点击“ 恢复 ”按钮

234635w2r421i3daqwssi4.jpg



回复

使用道具 举报

联系我们(Contact)|手机版|萝卜头IT论坛 ( 苏ICP备15050961号-1 )

GMT+8, 2024-11-23 20:21 , Processed in 0.104629 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表