名字 .docx勒索病毒
类型 勒索软件, Cryptovirus
简短描述 加密你的文件, 并要求你支付赎金, 让他们再次打开。
症状 文件将附加到. docx 文件扩展名。一个叫YOU_FILES_HERE的赎金纸条被遗留在受害者的电脑上。
分配方法 垃圾邮件, 电子邮件附件, 可执行文件

.docx 文件后缀勒索病毒–分发方法

可能有不止一种方式通过此. docx 勒索软件可能会传播到用户的计算机上。病毒的主要想法是让用户打开它的恶意文件。这就是为什么感染文件可能伪装成一个合法的文件发送给受害者通过垃圾邮件电子邮件, 模仿一个合法的, 此外, 勒索病毒也可能隐藏为可供下载的合法文件。这样的文件通常会变成软件的假冒安装程序, 其主要目标是让用户下载并运行它们。它们也变成了假裂纹、补丁、许可证激活剂和其他类型看似合法的 .exe 和. msi 文件


. docx 文件后缀勒索病毒–分析

. docx文件扩展名病毒现在没有名称, 但可以很容易地识别赎金说明。它称为YOU_FILES_HERE ,

报告的. docx 文件病毒的主要恶意文件具有以下参数:

→ SHA256:30ec73110c97a5ac5e923324b6874c41777a31b9b8a95467babcb9fb6bd3e982
name: 25d7ebac. gxe

. docx 文件病毒感染您的计算机时, 恶意软件可能会开始与以下 Windows 系统文件进行交互:

→ advapi32.dll
comctl32.dll
gdi32.dll
kernel32.dll
oleaut32.dll
user32.dll version.dll

勒索软件使用这些系统文件执行大量的过程调用和操作, 否则将被未经授权。


其中之一是可能在以下 Windows 注册表子项中创建注册表项:

→ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

. docx 文件病毒的另一个恶意活动可能是删除受感染计算机的卷影卷副本, 最好通过运行使用以下命令执行 Windows 命令提示符的脚本删除受感染 PC 上的已备份文件:

→ sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet

. docx 文件后缀勒索病毒–加密过程

要加密文件, . docx 勒索软件可能会首先检查它们。为此, 病毒可能会根据文件类型扫描文档、图像、视频和其他重要文件, 例如:

→ “PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”

加密后, 文件不能再打开, 并且可能出现如下所示:

删除. docx文件后缀勒索病毒并尝试还原您的文件

1. 在安全模式下启动电脑以隔离和删除. docx 文件病毒文件和对象

第1步:卸下所有 cd 和 dvd, 然后从 "开始" 菜单中重新启动电脑。

第2步:

对于具有单个操作系统的 pc: 在计算机重新启动过程中, 在第一个启动屏幕显示后重复按 "F8"。如果Windows 徽标出现在屏幕上, 则必须再次重复相同的任务。

对于具有多个操作系统的 pc: 这家箭头键将帮助您选择您喜欢在安全模式下启动的操作系统。按 "F8", 就像对单个操作系统所描述的那样。

第3步:当出现 "高级启动选项" 屏幕时, 选择您想要使用箭头键的安全模式选项。在您进行选择时, 按 "enter"。使用管理员帐户登录到您的计算机

第4步:修复计算机上恶意软件和 pup 创建的注册表项。

某些恶意脚本可能会修改计算机上的注册表项以更改不同的设置。这就是建议清理 Windows 注册表数据库的原因。因为关于如何做到这一点的教程是有点长, 篡改注册表可能会损坏您的计算机,

如果您不是很了解注册表,可参照链接 修复由恶意病毒软件引起的Windows注册表错误


2. 查找由. docx 文件创建的文件病毒在您的电脑上

第1步:启动菜单win+R  "运行" 文本框中写入explorer.exe , 然后单击"确定" 按钮.

第2步:从快速访问栏中单击您的电脑。这通常是一个显示器的图标, 它的名字是"我的电脑", "我的电脑" 或"这台电脑"或任何你命名它。

第3步:导航到电脑屏幕右上方的搜索框, 然后键入"fileextension:" , 然后键入文件扩展名。如果您正在寻找恶意的可执行文件, 一个示例可能是"fileextension:exe"。这样做后, 留下一个空格, 并键入您认为恶意软件已创建的文件名。如果找到您的文件, 则会显示以下方法:


3. 使用高级反恶意杀毒软件工具扫描恶意软件和有害程序

4. 尝试还原由. docx 文件病毒加密的文件

勒索软件感染和. docx 文件病毒目的是加密您的文件使用加密算法, 这可能是非常难以解密。这就是为什么我们建议了几种可帮助您绕过直接解密并尝试还原文件的替代方法。请记住, 这些方法可能不是100% 有效的, 但也可能帮助您在不同的情况下一点点或很多。

方法 1: 使用数据恢复软件扫描驱动器的扇区.

方法 2: 尝试杀毒软件的解密器.

方法 3: 查找解密密钥, 通过网络嗅探工具在勒索病毒发送密钥至服务器的过程中找到它。

解密文件的另一种方法是使用网络嗅探器获取加密密钥, 而文件在系统上加密。网络嗅探器是通过网络传输的程序和/或设备监视数据, 例如 internet 流量和 internet 数据包。如果在发生***之前有一个嗅探器设置, 您可能会获得有关解密密钥的信息。


.vanss勒索病毒删除 .vanss文件后缀勒索病毒数据恢复 (Dharma删除)可参照链接


关注服务号,交流更多数据恢复方案和数据解密方案: