安全人員最近檢測到另一個Dharma勒索軟體變種，這次使用.bkpx副檔名。勒索軟體旨在說服使用者在BitCoins中支付鉅額贖金，以便能夠再次使用他們的檔案。除此之外，勒索軟體還會刪除一個名為FILES ENCRYPTED.txt的文字檔案。如果您想刪除Dharma勒索軟體的.bkpx變體，並檢視有助於恢復某些檔案的方法，我們建議您仔細閱讀本文。

.bkpx勒索病毒 - 分發（Dharma系列）

對於用於感染計算機的 .bkpx勒索病毒，它可能會使用Trojan.Dropper感染檔案，該檔案可能顯示為某種型別的合法檔案。這些檔案通常通過電子郵件傳送給使用者，如下所示：

電子郵件可能會將該檔案新增為看似合法的電子郵件附件，其主要目的是欺騙受害者它應該不惜一切代價開啟它。這些檔案通常最終構成如下：

• 發票。
• 收據。
• 訂單檔案。
• 銀行檔案。

但這並不是用於感染病毒的所有方法，例如.bkpx Dharma勒索軟體。惡意軟體也可能將其病毒檔案上載到受損的WordPress網站或其他可疑網站上，在這些網站上可能會出現您要下載的檔案。這樣的檔案可能是：

• 程式設定。
• 行動式程式。
• 裂縫。
• 補丁。
• 關鍵發電機。
• 許可證啟用器。

.bkpx勒索病毒 - 主要活動

一旦Dharma勒索軟體感染了計算機，勒索軟體就可能立即丟失其有效載荷。它可能包含多個檔案，惡意檔案可能位於以下Windows目錄中：

• %AppData%
• %Local%
• %LocalLow%
• %Roaming%
• %Temp%

Dharma勒索軟體還刪除了它的FILES ENCRYPTED.txt贖金票據檔案，如下所示：

此外，惡意軟體還可能刪除它的主要贖金票據檔案，該檔案出現在其他變種的Dharma勒索軟體附近，主要區別在於使用的電子郵件：

除此之外，Dharma勒索軟體的.bkpx變體還可以通過新增包含資料的值字串來修改Run和RunOnce windows登錄檔子鍵，這些資料字串將自動執行病毒的惡意檔案。子鍵具有以下位置：

→HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run 
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run 
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce 
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Dharma勒索軟體也是一種病毒，它不會讓你的檔案被恢復。惡意軟體可能會刪除計算機上的影子卷副本，並受其影響。為此，它可以在Windows命令提示符中以管理員身份執行以下命令：

 sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet

.bkpx勒索病毒 - 加密過程

Dharma勒索軟體可以根據它們具有的副檔名來檢視受感染計算機上的檔案。.bkpx病毒小心不加密位於Windows系統資料夾中的檔案，如System，System32和其他資料夾。據報道，這種勒索軟體病毒所針對的主要檔案如下：

• 影片。
• 影象檔案。
• 檔案。
• 音訊檔案。
• 文件。

加密後，檔案無法再開啟，並附加了vicitm的唯一ID和電子郵件，用於聯絡網路犯罪分子以及副檔名.bkpx。

由Dharma勒索軟體加密的檔案：

刪除Dharma勒索病毒並恢復.bkpx字尾檔案

在開始刪除此Dharma勒索病毒軟體的過程之前，我們建議您備份所有檔案，以防萬一。

對於Dharma這種病毒變種的刪除過程，我們建議您遵循以下刪除手冊。如果手動刪除說明似乎沒有幫助刪除所有Dharma病毒檔案，專家強烈建議使用高階反惡意軟體掃描程式。此類工具旨在使用Dharma勒索軟體完全檢測並刪除所有相關物件，並確保您的PC在未來也將受到保護。

1.以安全模式啟動PC以隔離和刪除.bkpx 勒索病毒檔案和物件

手動刪除通常需要時間，如果不小心，您可能會損壞您的檔案！

對於Windows XP，Vista和7系統：

1.刪​​除所有CD和DVD，然後從“ 開始 ”選單重新啟動PC 。
2.

- 對於具有單個作業系統的PC：在計算機重新啟動期間出現第一個引導屏幕後，反覆按“ F8 ”。如果Windows徽標出現在螢幕上，則必須再次重複相同的任務。

- 對於具有多個作業系統的PC：箭頭鍵可幫助您選擇您希望以安全模式啟動的作業系統。按照單個作業系統所述，按“ F8 ”。

3.出現“ 高階啟動選項 ”螢幕時，使用箭頭鍵選擇所需的安全模式選項。在進行選擇時，按“ Enter ”。使用管理員帳戶登入計算機。當您的計算機處於安全模式時，螢幕的所有四個角都會出現“ 安全模式 ” 字樣。

4.修復PC上惡意軟體和PUP建立的登錄檔項。 可參照連結 修復由惡意病毒軟體引起的Windows登錄檔錯誤

2.在您的PC上查詢.bkpx勒索病毒建立的檔案

在較舊的Windows作業系統中，傳統方法應該是有效的方法：

1.單擊“ 開始選單”圖示（通常在左下角），然後選擇“ 搜尋”首選項。

2.出現搜尋視窗後，從搜尋助手框中選擇更多高階選項。另一種方法是單擊“ 所有檔案和資料夾”。

3.之後，鍵入要查詢的檔案的名稱，然後單擊“搜尋”按鈕。這可能需要一些時間才能顯示結果。如果您找到了惡意檔案，可以通過右鍵單擊來複製或開啟其位置。現在，您應該能夠在Windows上發現任何檔案，只要它在您的硬碟驅動器上並且不通過特殊軟體隱藏。

3.使用高階防惡意防毒軟體工具掃描惡意軟體和惡意程式

4.嘗試恢復.bkpx勒索病毒加密的檔案 

方法1：使用資料恢復軟體掃描驅動器的扇區。

方法2：嘗試解密器。

方法3：使用Shadow Explorer

方法4：在密碼病毒通過網路通過嗅探工具傳送解密金鑰時查詢解密金鑰。

GANDCRAB v5.0.9加密勒索病毒刪除 GANDCRAB v5.0.9檔案恢復 可參照連結

關注服務號，交流更多解密檔案方案和恢復方案：