.risk勒索病毒如何刪除 + .risk字尾檔案恢復(Dharma)
在您的寶貴檔案的名稱中出現.risk副檔名是勒索病毒感染的明確標誌。安全研究人員最近在野外發現了這種威脅。在其相關擴充套件後,它被稱為.risk檔案病毒。正如其分析過程中所確定的那樣,它屬於Dharma勒索軟體系列。您的檔案已損壞且無法訪問的事實被網路罪犯用作勒索贖金的先決條件。
| 名稱 | .risk勒索病毒 |
| 型別 | 勒索軟體,Cryptovirus |
| 簡短的介紹 | CrySyS / Dharma勒索軟體的一個版本,旨在加密儲存在受感染計算機上的有價值檔案,然後勒索受害者的贖金。 |
| 症狀 |
重要檔案已加密,並使用副檔名.risk重新命名。PC螢幕上會顯示贖金記錄,以顯示贖金付款說明。 |
| 分配方法 | 垃圾郵件,電子郵件附件 |
.risk勒索病毒 - 分發
支援這種破壞性威脅的黑客可能會使用至少一種最常用的傳播渠道。
提供.risk勒索病毒的一種方法使用者的裝置肯定是malspam。Malspam是一種技術,可以讓黑客通過垃圾郵件活動傳播惡意軟體。這些電子郵件有幾個特定的特徵。第一個是欺騙性電子郵件地址,發件人或兩者。這些電子郵件通常用於顯示知名公司代表的名字,以便看起來值得信賴並最終誘使您在裝置上安裝勒索軟體。另一個應該始終警告你可能出錯的特徵是檔案附件的存在。有許多已註冊的受感染使用者案例,他們錯誤地在其裝置上開啟惡意檔案附件,從而導致惡意程式碼被啟用。嘗試提供勒索軟體的電子郵件的最後一個特徵是URL地址,顯示為文字連結,按鈕,影象,
實際上,落在受感染網頁上的網址可能會傳播到除電子郵件之外的其他渠道。其中包括不同的社交媒體平臺,論壇,有時還有文章評論。訪問此類頁面後,您會不明顯地啟用作為其程式碼一部分的惡意指令碼,並最終授予勒索軟體對您裝置的訪問許可權。
.risk檔案病毒 - 概述
被稱為.risk檔案的勒索軟體病毒感染計算機系統,以便到達目標型別的檔案並使用複雜的密碼演算法對其進行編碼。它已被確定為臭名昭著的Dharma勒索軟體的另一種菌株。最近,在野外檢測到了相同勒索軟體系列的大量迭代。我們團隊最後報道的是
.war,.cccnn,.adobe,.myjob
作為其前身,Dharma勒索軟體的.risk變體會干擾系統設定,以便能夠完成攻擊。它通過幾個感染階段,其中第一個是在系統上建立惡意檔案。為此,可以將勒索軟體設定為直接在系統上建立所需檔案,或者連線其命令和控制伺服器並下載其他惡意檔案。可用於儲存這些惡意檔案的資料夾位置為:
- %AppData%
- %Local%
- %LocalLow%
- %Roaming%
- %Temp%
- %Windows%
在登錄檔子項Run和RunOnce下也可以找到惡意特徵。這兩個金鑰經常被勒索軟體攻擊的最常見原因是它們自動執行檔案和程序的功能。一旦.risk加密病毒設法在這些金鑰下新增其惡意值,其感染檔案與每個系統啟動時的所有其他基本系統檔案一起載入。以下是Run和RunOnce子鍵的確切位置:
→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
當.risk勒索病毒完成所有初始系統修改時,它需要載入其內建加密模組並最終編碼目標資料。它設定為損壞的檔案中可能是以下所有內容:
- 音訊檔案
- 視訊檔案
- 文件檔案
- 影象檔案
- 備份檔案
- 銀行憑證等
在加密過程中,.risk勒索軟體藉助AES和RSA等強密碼演算法轉換目標檔案的原始程式碼。然後它用副檔名.risk標記每個損壞的檔案。不幸的是,在有效的恢復方法恢復其程式碼之前,所有.risk檔案仍然無法訪問。這一事實使威脅行為者可以勒索你的贖金。
刪除.risk勒索病毒和還原資料
所謂的.risk勒索病毒是一種威脅,它具有高度複雜的程式碼,不僅困擾著你的檔案,也困擾著整個系統。因此,在您可以再次使用之前,應該對受感染的系統進行適當的清潔和保護。您可以在下面找到有助於嘗試刪除此勒索軟體的分步刪除指南。如果您以前有惡意軟體檔案的經驗,請選擇手動刪除方法。如果您對手動步驟感到不舒服,請從指南中選擇自動部分。通過這些步驟,您可以檢查受感染的系統中的勒索軟體檔案,並通過幾次滑鼠單擊刪除它們。
為了確保您的系統在將來免受勒索軟體和其他型別的惡意軟體的侵害,您應該安裝並維護可靠的反惡意防毒軟體程式。
請注意,在資料恢復過程之前,您應該將所有加密檔案備份到外部驅動器,因為這樣可以防止其不可逆轉的丟失。
1.以安全模式啟動PC以隔離和刪除.risk勒索病毒檔案和物件
手動刪除通常需要時間,如果不小心,您可能會損壞您的檔案!
對於Windows XP,Vista和7系統:
1.刪除所有CD和DVD,然後從“ 開始 ”選單重新啟動PC 。
2.選擇以下兩個選項之一:
- 對於具有單個作業系統的PC:在計算機重新啟動期間出現第一個引導屏幕後,反覆按“ F8 ”。如果Windows徽標出現在螢幕上,則必須再次重複相同的任務。
- 對於具有多個作業系統的PC:箭頭鍵可幫助您選擇您希望以安全模式啟動的作業系統。按照單個作業系統所述,按“ F8 ”。
3.出現“ 高階啟動選項 ”螢幕時,使用箭頭鍵選擇所需的安全模式選項。使用管理員帳戶登入計算機。當您的計算機處於安全模式時,螢幕的所有四個角都會出現“ 安全模式 ” 字樣。
4.修復PC上惡意軟體和PUP建立的登錄檔項。可參照連結 修復由惡意病毒軟體引起的Windows登錄檔錯誤
2.在PC上查詢.risk勒索病毒建立的檔案
在較舊的Windows作業系統中,傳統方法應該是有效的方法:
1.單擊“ 開始選單”圖示(通常在左下角),然後選擇“ 搜尋”首選項。
2.出現搜尋視窗後,從搜尋助手框中選擇更多高階選項。另一種方法是單擊“ 所有檔案和資料夾”。
3.之後,鍵入要查詢的檔案的名稱,然後單擊“搜尋”按鈕。這可能需要一些時間才能顯示結果。如果您找到了惡意檔案,可以通過右鍵單擊來複製或開啟其位置。
現在,您應該能夠在Windows上發現任何檔案,只要它在您的硬碟驅動器上並且不通過特殊軟體隱藏。
3.使用高階防惡意軟體工具掃描惡意軟體和惡意程式
4.嘗試還原.risk勒索病毒加密的檔案
方法1:使用資料恢復軟體掃描驅動器的扇區。
方法2:嘗試解密器。
方法3:使用Shadow Explorer
方法4:在密碼病毒通過網路通過嗅探工具傳送解密金鑰時查詢解密金鑰。
.myjob勒索病毒刪除+.myjob字尾檔案恢復(Dharma)可參照連結
關注服務號,交流更多解密檔案方案和恢復方案:
