[email protected]后缀病毒(Scarab勒索病毒)是一个加密你的数据并要求金钱作为赎金来恢复它的人。文件将收到[email protected]。该.online24files @ airmail.cc 病毒(Scarab勒索病毒)将离开勒索指令作为桌面墙纸图像。
| 名称 | .online24files @ airmail.cc 病毒 |
| 类型 | 勒索软件,Cryptovirus |
| 简短的介绍 | 勒索软件通过将[email protected]放在计算机系统上受影响的文件之前加密文件,并要求支付赎金以据称恢复它们。 |
| 症状 | 勒索软件将对您的文件进行加密,并留下带有付款说明的勒索信息。 |
| 分配方法 | 垃圾邮件,电子邮件附件 |
[email protected]勒索病毒(Scarab系列)- 分发技术
属于Scarab勒索软件系列的最新版本已在.online24files @ airmail.cc 病毒变种中识别出来。该报告指出,***活动的范围有限,目前收集的样本数量非常少,而且没有给出主要的感染方法。
我们怀疑[email protected] 病毒背后的***将利用最流行的分发策略。最流行的方法之一是发送网络钓鱼垃圾邮件,其中包括各种社交工程策略,这些策略操纵用户认为他们已经从他们使用的服务或知名公司收到了合法通知。消息内容可能包含作为更新或新软件提供的病毒下载的链接。在某些情况下,文件也可以直接附加到电子邮件中。
类似的策略是构建构成下载门户或软件页面的网络钓鱼网站。每当用户访问它们时,他们可能会认为他们正在访问一个安全的地方。
许多圣甲虫勒索软件菌株也可能被整合到受感染的有效载荷中,其中两种最流行的类型如下:
安装文件 - 犯罪分子可以将病毒感染代码嵌入流行的应用程序安装程序中。通常目标是系统实用程序,办公套件,生产力应用程序甚至游戏。每当从受感染的源安装它们时,勒索软件将被部署到受害者机器。
恶意文档 - 对所有流行类型的文档采用类似的策略:富文本文档,演示文稿,电子表格和数据库。每当受害者打开它们时,就会出现一个提示,要求他们启用内置脚本。这将触发宏功能,该功能将从远程服务器下载病毒威胁并在本地计算机上执行。
为了进一步将它们传播到更大的受众,可以通过文件共享网络(如BitTorrent)传播独立病毒文件和受感染的有效负载。与这种P2P技术一起使用的跟踪器分发合法和盗版内容,因此它们非常便于同时将病毒传播给许多人。
可以通过使用恶意网络浏览器扩展来实现更大的感染,这些扩展是由犯罪分子在内部下载勒索软件的代码制作的。它们与所有流行的Web浏览器兼容,并通过虚假的用户评论和开发人员凭据上传到其相关的存储库。他们使用的描述将保证功能添加或性能优化。一旦安装,就会启动病毒下载操作。
[email protected]勒索病毒(Scarab系列) - 详细分析
作为Scarab勒索软件威胁的一部分的[email protected] 病毒遵循与先前版本相同的行为模式。这意味着在感染开始时,主感染引擎会将自身复制到系统文件夹,以便将自己隐藏在可能安装的任何防病毒软件中。如果包含安全旁路功能,则引擎将扫描此类应用程序的内存和硬盘驱动器内容。此类操作不仅会影响防病毒公司,还会影响防火墙,调试环境和虚拟机主机。
对系统的进一步修改可包括以下任何一项:
Windows注册表修改 - .online24files @ airmail.cc 病毒可能会继续修改Windows注册表字符串。这可以应用于第三方安装的软件和整个操作系统。对受害用户的直接影响是某些功能或特征可能变得不可访问。对核心价值的修改也可能导致系统严重的性能问题和整体稳定性。
系统数据删除 - 为了使恢复更加困难,勒索软件还可能删除系统还原点,备份和影子卷拷贝等数据。除非使用恢复和反间谍软件的组合,否则这将使恢复变得非常困难。
其他恶意软件交付 - 许多圣甲虫勒索软件变种(如[email protected] 病毒)也可能被指示向受感染的计算机提供其他感染。这可能包括特洛伊***,勒索软件,加密货币矿工等。
与其他与Scarab勒索软件家族相关的样本一样,此特定病毒也可能会被修改为包含其他模块和操作。请记住,感染行为可以在广告系列之间切换。
在***共同感染的情况下,活动背后的***也将能够劫持用户数据(在加密开始之前)并且还实时监视受害者。
[email protected] 勒索病毒(Scarab系列) - 加密过程
完成所有先决条件命令后,将启动加密过程。它将根据目标文件类型扩展的内置列表搜索敏感用户数据。一个例子如下:
档案
备份
数据库
图片
影片
音乐
所有受害者文件都将使用[email protected] 扩展名重命名,该扩展名包含运营商使用的电子邮件地址。相关的勒索软件是在名为HOW TO RECOVER ENCRYPTED [email protected]的文件中创建的。
删除[email protected] 病毒(Scarab系列)并尝试恢复数据
如果您的计算机系统感染了[email protected]勒索软件病毒,您应该有一些删除恶意软件的经验。您应该尽快摆脱这种勒索软件,然后才有机会进一步传播并感染其他计算机。您应该删除勒索软件并按照下面提供的分步说明指南操作。
手动删除通常需要时间,如果不小心,您可能会损坏您的文件!
1.以安全模式启动PC以隔离和删除[email protected]病毒文件和对象
对于Windows XP,Vista和7系统:
1.删除所有CD和DVD,然后从“ 开始 ”菜单重新启动PC 。
2.选择以下两个选项之一:
- 对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“ F8 ”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
- 对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“ F8 ”。
3.出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机。当您的计算机处于安全模式时,屏幕的所有四个角都会出现“ 安全模式 ” 字样
4.修复PC上恶意软件和PUP创建的注册表项。
2.在PC上查找[email protected] 病毒创建的文件
在较旧的Windows操作系统中,传统方法应该是有效的方法:
1.单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项。
2.出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
3.之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置。
现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序
4.尝试恢复[email protected] 病毒加密的文件
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试解密器。
方法3:使用Shadow Explorer
方法4:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
关注服务号,交流更多解密文件方案和恢复方案:
