.war勒索病毒如何删除它 .war后缀文件数据恢复(Dharma)
安全人员发现了另一种Dharma勒索病毒。使用此勒索软件支持感染活动的黑客已选择特定扩展名.war进行迭代。一旦此威胁访问您的设备,它就会实施一系列恶意活动,以便能够利用复杂的密码算法,从而加密有价值的数据。这些活动的目的是勒索赎金。因此,在攻击结束时,勒索软件会在屏幕上加载赎金消息,并强制您与黑客联系,以获取有关如何恢复.war文件的更多信息。
| 名称 | .war文件病毒 |
| 类型 | 勒索软件,Cryptovirus |
| 简短的介绍 | CrySyS / Dharma勒索软件系列的一个版本,旨在加密存储在受感染计算机上的有价值文件,然后勒索受害者的赎金。 |
| 症状 | 重要文件已加密,并使用扩展名.war重命名。PC屏幕上会显示赎金记录,以显示赎金付款说明。 |
| 分配方法 | 垃圾邮件,电子邮件附件 |
.war勒索病毒 - 分发
有几个渠道可用于分发Dharma .war勒索软件。其中一种方法叫做malwspam。它为黑客提供了通过大规模电子邮件活动传播恶意攻击的机会。他们的恶意软件通常嵌入在任何常见类型的文件中。在电子邮件中,它们通常由任何合法的商业或服务发送。不幸的是,他们的目的是诱骗您打开设备上损坏的文件,这样就会触发勒索软件的有效负载。各种常见的文件类型(如文档,PDF,图像)可以转换为勒索软件代码的载体。
这些文件通常显示如下:
- 来自信誉良好的网站的发票,如PayPal,eBay等。
- 来自似乎是受害者银行的文件。
- 在线订单确认单。
- 收货购买。
- 其他。
恶意软件作者也可能使用受感染的网站来传播这种Dharma勒索软件感染的变种。此方法使他们能够将勒索软件配置文件上载到受感染的网页,并在注册访问此页面后设置其自动执行。
.war勒索病毒 - 概述
这种威胁被称为.war勒索病毒的原因是它附加到每个加密文件的同名扩展名。正如安全研究人员所确认的那样,这种威胁是臭名昭着的Dharma勒索软件。实际上,它出现在恶意软件场景之后,在同一个勒索软件系列的许多其他相对较新的应变之后。就像它的前辈一样
Dharma .adobe,Dharma .btc,Dharma .brrr,Dharma .myjob和其他许多人,Dharma .war攻击各种机器的操作系统,以便访问存储在驱动器上的有价值数据。
在PC上执行其有效负载文件后不久,就会发现许多系统更改。这些更改是由勒索软件执行的许多恶意活动引起的。在攻击期间应用的恶意活动中可以修改注册表系统密钥。通常,目标键是Run和RunOnce,因为它们管理自动执行在每个系统启动时加载的所有基本系统文件。因此,以下是您应该访问的位置,以便检查是否存在任何恶意条目:
→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
当.war文件病毒实现所有初始泄密时,它会触发内置加密模块,以便对属于其目标数据列表的所有文件进行编码。不幸的是,它可能会编码存储有价值数据的所有类型的文件,包括:
- 音频文件。
- 影片。
- 图像文件。
- 数据库。
- 档案。
一旦文件被这个加密病毒加密,它就会收到几个扩展名,其中最后一个是扩展名.war。在它之前,您可以看到与黑客相关联的电子邮件地址。同样的电子邮件可以在Dharma .war提供的文本中看到,其中包含一个名为FILES ENCRYPTED.txt的文件。本说明的目的是强迫您与黑客联系,以便他们可以向您发送有关如何恢复.war文件的更多详细信息。通常这只有在你用比特币支付赎金后才有可能。
删除.war勒索病毒和还原数据
所谓的.war勒索病毒是一种威胁,其代码非常复杂,不仅困扰着你的文件,也困扰着整个系统。因此,在您可以再次使用之前,应该对受感染的系统进行适当的清洁和保护。您可以在下面找到有助于尝试删除此勒索软件的分步删除指南。如果您以前有恶意软件文件的经验,请选择手动删除方法。
为了确保您的系统在将来免受勒索软件和其他类型的恶意软件的侵害,您应该安装并维护可靠的反恶意软件杀毒程序。可以防止勒索软件攻击。
请注意,在数据恢复过程之前,您应该将所有加密文件备份到外部驱动器,因为这样可以防止其不可逆转的丢失。
1.以安全模式启动PC以隔离和删除.war勒索病毒文件和对象
手动删除通常需要时间,如果不小心,您可能会损坏您的文件!
对于Windows XP,Vista和7系统:
1.删除所有CD和DVD,然后从“ 开始 ”菜单重新启动PC 。
2.
- 对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“ F8 ”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
- 对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“ F8 ”。
3.出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机。当您的计算机处于安全模式时,屏幕的所有四个角都会出现“ 安全模式 ” 字样。
4.修复PC上恶意软件和PUP创建的注册表项。可以参照链接 修复由恶意病毒软件引起的Windows注册表错误
2.在PC上查找.war 勒索创建的文件
在较旧的Windows操作系统中,传统方法应该是有效的方法:
1.单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项。
2.出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
3.之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置。现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
3.使用防恶意杀毒软件工具扫描恶意软件和恶意程序
4.尝试还原.war 勒索病毒加密的文件
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:使用Shadow Explorer
方法3:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
方法4:尝试一些杀毒软件的解密器。
.myjob勒索病毒删除+.myjob后缀文件恢复(Dharma)可参照链接
关注服务号,交流更多解密文件方案和恢复方案:
