.waifu勒索病毒删除 .waifu勒索病毒恢复文件

.waifu变种Dharma勒索软件

使用.waifu文件扩展名，它添加到文件中，由病毒加密，Dharma的新变种是最近一波同一病毒变种的一部分。这可能是恶意软件在深层网络上作为RaaS（Ransomware-as-a-service）传播的标志。

.waifu Dharma - 入侵方法

有许多方法可以让你成为这种Dharma勒索病毒变种的受害者。据报道，主要用于其他版本病毒的是恶意电子邮件，也称为malspam。这些电子邮件可能构成看似重要的合法类型的文件，例如：发票，收据，银行文件，您帐户中的可疑活动，与工作有关的东西，新员工的简历。

该电子邮件也被设计得非常好，在大多数情况下，他们往往会模仿著名的公司，如PayPal，易趣，DHL，Dropbox的，LinkedIn和其他看似重要的服务。

与Dharma的.waifu变体infecton的主要方法包括携带恶意文件在这些电子邮件可以是以下类型的：.zip, .js, .rar, .bat, .vbs, .exe, .sfx, .pdf, .docx, .docm

在该恶意文件，属于该变种佛法勒索软件已经以.pdf或.DOCX或.DOCM格式被传播的事件，他们似乎合法的，但可以通过恶意宏感染您的计算机，一旦启用linkey = d文件编辑那些文件。

此外，除此之外，Dhawa勒索软件的.waifu变体也可能将其上传的感染文件上传到网络上并假装是合法的设置，补丁，破解，程序的可移植版本或任何其他类似软件。

.waifu变异的Dharma - 分析

.waifu变体与我们迄今为止检测到的大多数Dharma勒索软件非常相似，该勒索软件使用了两个主要的感染病毒的文件：

SHA-256：26653834234b4abf4f3c5f90a135ab74e0eb1e089d6be8934a08dbaf03858dde

名称：unlikexpc.exe

大小：311.57 KB

SHA-256：a1ac896f8be90f43aa83fc5442cdf7715396f7d385aee604f22e3cf2cb462f62

大小：92.5 KB

一旦在受害者的计算机上有了unlikexpc.exe感染文件，就会激活.waifu变种Dharma勒索软件，并对以下Windows系统文件执行恶意操作：

C:\WINDOWS\system32\winime32.dll

C:\WINDOWS\system32\ws2_32.dll

C:\WINDOWS\system32\ws2help.dll

C:\WINDOWS\system32\psapi.dll

C:\WINDOWS\system32\mscoree.dll

C:\WINDOWS\system32\imm32.dll

C:\WINDOWS\system32\lpk.dll

C:\WINDOWS\system32\usp10.dll

C:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exe

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\clr.dll

C:\WINDOWS\system32\MSVCR100_CLR0400.dll

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\index18.dat

C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\mscorlib\cece9d0256e18427b64587ba690605d4\mscorlib.ni.dll

C:\WINDOWS\system32\rpcss.dll

C:\WINDOWS\system32\MSCTF.dll

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\Culture.dll

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\locale.nlp

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\nlssorting.dll

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SortDefault.nlp

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\clrjit.dll

C:\WINDOWS\assembly\pubpol1.dat

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorrc.dll

C:\WINDOWS\Microsoft.NET\assembly\GAC_MSIL\Microsoft.VisualBasic\v4.0_10.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll

C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System\7169c473071af03077b1cd2a9c1dbcbe\System.ni.dll

C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Core\4a9f25bff4bb74c9b6a21091923307d2\System.Core.ni.dll

C:\WINDOWS\system32\rsaenh.dll

C:\WINDOWS\system32\crypt32.dll

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\xpsp2res.dll

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\diasymreader.dll

此外，Dharma勒索软件的恶意文件与Windows注册表编辑器中的以下注册表项交互：

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\996E.exe

\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option

\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers

\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\TransparentEnabled

\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscoreei.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntdll.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KERNEL32.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GDI32.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USER32.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Secur32.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RPCRT4.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ADVAPI32.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msvcrt.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WS2HELP.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WS2_32.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHLWAPI.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PSAPI.DLL

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winime32.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscoree.dll

\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscoree.dll\CheckAppHelp

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IMM32.DLL

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USP10.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LPK.DLL

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSVCR100_CLR0400.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clr.dll

\REGISTRY\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\996E.exe\RpcThreadPoolThrottle

\REGISTRY\MACHINE\Software\Policies\Microsoft\Windows NT\Rpc

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ole32.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorlib.ni.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSCTF.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\culture.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nlssorting.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clrjit.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VERSION.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsaenh.dll

\REGISTRY\MACHINE\Software\Policies\Microsoft\Cryptography

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\System.ni.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\System.Core.ni.dll

\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug

\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting\DebugApplications

\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting\DebugApplications

\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\SOFTWARE\Policies\Microsoft\PCHealth\ErrorReporting

\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\PCHealth\ErrorReporting

\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI

\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\diasymreader.dll

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xpsp2res.dll

然后，Dhawa 勒索软件的.waifu变体继续执行以下Windows进程：

C：\ Documents and Settings \ Administrator \ Local Settings \ Temp \ EB93A6 \ 996E.exe

Dharma勒索软件还在受感染的Windows机器上创建了几个互斥锁：

CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500

CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500

CTF.Asm.MutexDefaultS-1-5-21 -1482476501-1645522239-1417001333-500

CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500

CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500

CTF.TimListCache。 FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500

除了这些活动之外，恶意软件还可能会删除您的卷影卷副本并禁用Windows恢复。这是通过以管理员身份运行Windows命令提示符并在/ quiet模式下执行以下命令来完成的，以便隐藏整个活动：

sc stop VVS

sc stop wscsvc

sc stop WinDefend

sc stop wuauserv

sc stop BITS

sc stop ERSvc

sc stop WerSvc

cmd.exe /C bcdedit /set {default} recoveryenabled No

cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet

.waifu Dharma病毒 - 加密过程

一旦被.waifu变种的Dharma勒索软件感染，您的文档，视频，图像，音频文件，档案，数据库和许多其他重要文件就会成为它的目标。病毒通过检查文件扩展名来扫描文件。在这种情况下，.waifu Dharma变体可能会查找以下文件类型来加密它们：

“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files。 AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA视频文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS。

一旦检测到文件，Dhawa的.waifu变体使用与它所基于的变体相同的加密模型，.cezar文件后缀。病毒加密计算机上的文件后会使它们处于残缺状态。

这些文件使用AES密码进行加密，该密码生成一个解密密钥，在受害者支付赎金后，只有网络骗子才能有效使用该密码，这是在加密货币令牌（如BitCoin或Monero）中请求的。支付赎金不属于推荐的事情，因为你不能相信这些人来恢复你的文件。

删除Dharma 并恢复.waifu加密文件

在开始任何删除过程之前，我们强烈建议您备份文件，即使它们无法再打开，以防止任何损害。

要删除.waifu Dharma Virus请按照下列步骤操作：

1.以安全模式启动PC以隔离和删除.waifu Dharma Virus文件和对象

第1步：打开“ 开始”菜单。

第2步：单击电源按钮，在按住“Shift”的同时单击“ 重新启动”。

第3步：重启后，将出现带有选项的蓝色菜单。从他们你应该选择疑难解答。

第4步：您将看到“ 疑难解答”菜单。从此菜单中选择“ 高级选项”。

第5步：出现“ 高级选项”菜单后，单击“ 启动设置”。

第6步：从Startup Settings菜单中，单击Restart。

第7步：重启后会出现一个菜单。您可以通过按相应的数字选择三个安全模式选项中的任何一个，机器将重新启动。

第8步：修复PC上恶意软件和PUP创建的注册表项。

2.在您的PC上查找.waifu Dharma Virus创建的文件

第1步：在键盘上按Windows + R并在“ 运行”文本框中编写explorer.exe，然后单击“ 确定”按钮。

第2步：从快速访问栏中单击您的PC。这通常是带有显示器的图标，其名称可以是“我的电脑”，“我的电脑”或“此电脑”或您命名的任何名称。

第3步：导航到PC屏幕右上角的搜索框，然后键入“fileextension:”，然后键入文件扩展名。如果您正在寻找恶意可执行文件，例如可能是“后缀名称:exe”。请留出空格并键入您认为恶意软件已创建的文件名

3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序(适用于非计算机专业用户)

4.尝试恢复.waifu Dharma Virus加密的文件

勒索软件感染和.waifu Dharma勒索病毒旨在使用加密算法加密您的文件，这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住，这些方法可能不是100％有效，但也可能在不同情况下帮助您一点或多少。

方法1：使用数据恢复软件扫描驱动器的扇区。

方法2：尝试杀毒软件的解密器。

方法3：在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。

解密文件的另一种方法是使用网络嗅探器获取加密密钥，同时在系统上加密文件。网络嗅探器是监视通过网络传输的数据的程序和/或设备，例如其互联网流量和互联网数据包。如果在攻击发生之前设置了嗅探器，则可能会获得有关解密密钥的信息

.boost勒索病毒（Dharma家族）- 删除和恢复数据可参照链接

关注服务号，交流更多解密文件方案和恢复方案：