.cryptes勒索病毒刪除,crypted勒索病毒恢復解密
安全研究人員發現了另一種神祕的勒索病毒感染。該病毒的目的是加密受感染計算機上的檔案,主要目的是讓使用者向這種病毒背後的網路犯罪分子支付鉅額贖金。勒索軟體通過留下贖金票據來做到這一點,該票據稱為“如何解密所有我的FILES.txt”,其中敲詐勒索的條件已經明確。
名稱 | .cryptes檔案病毒 |
型別 | 勒索病毒,Cryptovirus |
簡短的介紹 | 旨在加密您計算機上的檔案,然後新增贖金票據,要求您支付贖金以恢復檔案。 |
症狀 | 檔案使用新增的.cryptes副檔名進行加密。一張贖金票據被稱為如何解密所有我的FILES.txt被留在受害者的計算機上。 |
入侵方法 | 垃圾郵件,電子郵件附件,可執行檔案 |
.cryptes檔案病毒 - 2018年8月更新
在2018年8月,.cryptes 勒索病毒繼續感染全世界的計算機系統。據報道,最新的受害者來自波蘭和義大利。最新的惡意軟體樣本可以在下面的螢幕截圖中看到:
如上所示,VirusTotal服務顯示有效負載檔案的檢測,其名稱為RegIstry.exe。
請注意以下注冊表項:
該金鑰是在Windows登錄檔中設定的:
→\ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Windows Defender
- “%APPDATA%\ Windows Defender \ Monitors.exe”
.cryptes檔案病毒擴散
.cryptes勒索軟體的主要感染方法是基於各種不同型別的活動進行的,其主要目的是誘騙受害者下載並執行丟棄有效負載檔案的病毒的感染檔案。其中一項活動是向您傳送包含嵌入其中的惡意電子郵件附件的垃圾電子郵件。這些電子郵件可能如下所示:
除了電子郵件之外,.cryptes勒索軟體的感染也可以通過其他方法進行,例如在假裝是合法型別的檔案時在線上傳,例如:
- 虛假設定程式。
- 假軟體啟用器。
- 假裂或補丁。
- 假keygen(金鑰生成器)。
.cryptes病毒 - 更多資訊
一旦.cryptes檔案病毒感染了您的計算機,惡意軟體可能會留下它的有效負載檔案。這些檔案可能位於以下Windows目錄中:
一旦刪除了此勒索軟體的有效負載,惡意軟體可能會檢查您的計算機之前是否已被其感染。如果是這樣或者.cryptes病毒在虛擬環境中執行,那麼它會關閉並刪除自身,並且不會加密任何檔案。
- %AppData%
- %Windows%
- %SystemDrive%
- %ProgamFiles%
- %System%
- %Temp%
- %Local%
- %LocalLow%
- %Roaming%
- %UserProfile%
但如果沒有,.cryptes病毒可以通過在Run和RunOnce登錄檔子項中建立條目來修改受害計算機的Windows登錄檔編輯器:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
除此之外,.cryptes勒索軟體還可能會刪除受感染計算機的影子卷副本,可能會以管理員身份執行Windows命令提示符中的vssadmin,bcedit和其他命令,而不會讓受害者有機會阻止刪除。
該.cryptes病毒還會留下稱如何解密所有我FILES.txt並具有以下勒索信:
您的所有檔案都已加密!
由於您的PC存在安全問題,您的所有檔案都已加密。如果要恢復它們,請將我們傳送到電子郵箱:*********@****.com
你必須支付比特幣的解密費用。價格取決於您寫給我們的速度。付款後,我們會向您傳送解密工具,解密您的所有檔案。 免費解密作為保證 在付款之前,您可以向我們傳送最多5個檔案進行免費解密。檔案總大小必須小於10Mb(非歸檔),檔案不應包含有價值的資訊。(資料庫,備份,大型Excel工作表等)
如何獲得 比特幣購買比特幣的最簡單方法是LocalBitcoins網站。您必須註冊,點選“購買比特幣”,然後按付款方式和價格選擇賣家。 https://localbitcoins.com/buy_bitcoins 您也可以在這裡找到其他地方購買比特幣和初學者指南: http ://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意! 不要重新命名加密檔案。 不要嘗試使用第三方軟體解密您的資料,這可能會導致永久性資料丟失。
.cryptes病毒 - 它是如何加密的
.crypted檔案ransowmare最初可能會掃描您的計算機以查詢它希望不再可開啟的檔案型別。.cryptes病毒根據副檔名對檔案進行加密,惡意軟體會查詢與以下邏輯檔案組相關聯的副檔名;
- 音訊檔案。
- 視訊檔案。
- 影象檔案。
- 檔案型別,與不同程式使用的文件相關聯。
- 備份檔案型別。
- 資料庫檔案。
- 經常下載的程式使用的檔案型別。
- 存檔檔案型別。
加密過程結束後,勒索軟體病毒可能會將.cryptes副檔名新增到加密檔案中,使其顯示如下:
要刪除.cryptes Files Virus請按照下列步驟操作:
從Mac中刪除.cryptes Files Virus
要從Mac中刪除該應用程式,請按照以下說明操作:
1.轉到Finder。 2.在搜尋欄中,鍵入要刪除的應用程式的名稱。 3.在搜尋欄上方將兩個下拉選單更改為“System Files”和“Are Included”,以便您可以檢視與要刪除的應用程式關聯的所有檔案。請記住,某些檔案可能與應用程式無關,因此請務必小心刪除哪些檔案。 4.如果所有檔案都相關,請按住Command + A按鈕選擇它們,然後將它們移動到“Trash”。
從Windows中刪除.cryptes Files Virus
請參照上一篇博文
關注微信服務號,獲取更多資訊以及檔案恢復方案: