.santa勒索病毒如何删除 .santa后缀文件如何恢复(Dharma)
一个新的Dharma勒索病毒变种已经在冬季假期出现,带有.santa文件扩展名,它会添加到加密文件中,以勒索受害者为其加密的文件支付赎金费。如果您的计算机已被这种CrySiS/Dharma勒索软件变种感染
| 名称 | Dharma .santa病毒 |
| 类型 | 勒索软件,Cryptovirus |
| 简短的介绍 | 目的是加密受其感染的计算机上的文件并将其作为要挟,直到受害者支付赎金来解密它们并使它们再次可用。 |
| 症状 | 主要症状是给所有文件添加.santa后缀扩展名。 |
| 分配方法 | 垃圾邮件,电子邮件附件,可执行文件 |
Dharma .santa 勒索病毒- 分发方法
对于传染给定计算机的Dharma勒索病毒,传播它的人可能会使用不同的传播方法。最常用的一种方法是通过向他们发送包含被感染文件的电子邮件来利用毫无戒心的用户,这些电子邮件被屏蔽为合法附件,例如:
- 发票。
- 收货购买。
- 银行文件。
- 其他类型的文件。
除此之外,Dharma勒索软件还可能通过其他方式感染用户,例如在受影响的WordPress网站上传感染文件,他们可能会假装:
- 补丁。
- 便携式程序。
- 游戏裂缝。
- 软件激活器。
- 钥匙发电机。
Dharma .santa 勒索病毒 - 活动
当Dharma的.santa变种被放置在受害者的计算机上时,恶意软件可能会丢弃其有效负载,这些负载可能位于以下Windows目录中:
- %AppData%
- %Local%
- %LocalLow%
- %Roaming%
- %Temp%
删除后,可能会执行此勒索软件的恶意文件,其结果是它可能会对受感染计算机上的以下恶意活动造成影响:
- 创建互斥锁。
- 在Windows的注册表编辑器中创建条目。
- 删除备份。
- 安排任务。
- 禁用Windows恢复。
- 换壁纸。
- 设置赎金票据自动打开。
- 修改Windows系统文件和对象。
在佛法.santa勒索软件可以修改Run和RunOnce注册表键和主要思想,以自动运行该病毒的恶意文件。这些子键具有以下Windows位置:
→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
但这并不是全部。Dharma .santa病毒还可以通过以管理员身份执行以下命令来删除受害者计算机上的备份文件:
→sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
Dharma .santa 勒索病毒- 加密过程
Dharma勒索软件的这种变体可以加密具有以下文件扩展名的文件:
→.ebd,.jbc,.pst,.ost,.tib,.tbk,.bak,.bac,.abk,.as4,.asd,.ashbak,.backup,.bck,.bdb,.bk1 ,. bkc,.bkf,
.bkp,.boe,.bpa,.bpd,.bup,.cmb,.fbf,.fbw,.fh,.ful,.gho,.ipd,.nb7,.nba,.nbd, .nbf,.nbi,.nbu,.nco,
.oeb,.old,.qic,.sn1,.sn2,.sna,.spi,.stg,.uci,.win,.xbk,.iso,.htm ,.html,.mht,.p7,.p7c,.pem,.sgn,
.sec,.cer,.csr,.djvu,.der,.stl,.crt,.p7b,.pfx,.fb ,. fb2,.tif,.tiff,.pdf,.doc,.docx,.docm,.rtf,
.xls,.xlsx,.xlsm,.ppt,.pptx,.ppsx,.txt,.cdr,.jpe, .jpg,.jpeg,.png,.bmp,.jiff,.jpf,.ply,.pov,.raw,
.cf,.cfn,.tbn,.xcf,.xof,.key,.eml,.tbb ,.dwf,.egg,.fc2,.fcz,.fg,.fp3,.pab,.oab,.psd,.psb,.pcx,
.dwg,.dws,.dxe,.zip,.zipx,.7z,.rar,.rev,.afp,.bfa,.bpk,.bsk,.enc,.rzk,.rzx,.sef,.shy ,.snk,.accdb,
.ldf,.accdc,.adp,.dbc,.dbx,.dbf,.dbt,.dxl,.edb,.eql,.mdb,.mxl,.mdf,.sql ,. sqlite,.sqlite3,.sqlitedb,
.kdb,.kdbx,.1cd,.dt,.erf,.lgp,.md,.epf,.efb,.eis,.efn,.emd,.emr,.end, .eog,.erb,.ebn,.ebb,.prefab,
.jif,.wor,.csv,.msg,.msf,.kwm,.pwm,.ai,.eps,.abd,.repx,.oxps ,.dot。,/ p>
除此之外,.santa变种od Dharma勒索软件如果位于以下Windows目录中,则会跳过加密文件,以便受害者仍然可以使用他或她的计算机支付赎金:
%Local%
%Temp%
%Windows%
%System%
%Program Files%
%System32%
为了加密受害计算机上的文件,Dharma勒索软件的这种变体可能会创建这些文件的副本,然后删除这些文件的原始版本。通过这种方式,病毒可确保恢复加密文件变得非常困难。加密文件具有.santa文件扩展名,它们如下所示:
删除Dharma.santa并恢复.santa病毒文件
如果您想删除.santa变种的Dharma勒索软件,我们建议您按照本文下面的删除说明进行操作。它们分为手动和自动删除说明,其主要思想是根据您的技能组合帮助您删除此病毒。如果手动删除不适合您,专家总是建议自动删除Dharma勒索软件,借助先进的反恶意软件软件。此类工具将通过检测所有相关的恶意对象并将其删除,从而有效地确保此感染的病毒文件自动从您的计算机中消失。在进行手动删除和恢复过程中,切记先备份加密后的文件再进行操作,以免发送意外损坏
1.以安全模式启动PC以隔离和删除Dharma .santa病毒文件和对象
手动删除通常需要时间,如果不小心,您可能会损坏您的文件
对于Windows XP,Vista和7系统:
1.删除所有CD和DVD,然后从“ 开始 ”菜单重新启动PC 。
2。选择以下两个选项之一:
- 对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“ F8 ”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
- 对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“ F8 ”。
3.出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机。当您的计算机处于安全模式时,屏幕的所有四个角都会出现“ 安全模式 ” 字样
4.修复PC上恶意软件和PUP创建的注册表项。修复由恶意病毒软件引起的Windows注册表错误
2.在您的PC上查找由Dharma .santa 勒索病毒创建的文件
在较旧的Windows操作系统中,传统方法应该是有效的方法:
1.单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项。
2.出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
3.之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置。现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
3.使用防恶意杀毒软件工具扫描恶意软件和恶意程序
4.尝试恢复由Dharma .santa 勒索病毒加密的文件
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试解密器。
方法3:使用Shadow Explorer
方法4:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
.bkpx勒索病毒如何删除 .bkpx后缀文件数据恢复(Dharma)可参照链接
关注服务号,交流更多解密文件方案和恢复方案:
