后缀.frend扩展名勒索病毒如何移除它，如果文件添加.frend扩展名尝试数据恢复工具（Dharma/CrySiS）

本文的创建主要是解释什么是.frend扩展名版本的Dharma勒索病毒，并向您展示如何从计算机中删除它以及如何尝试和恢复由其加密的文件。

此时检测到的另一种Dharma勒索软件病毒变种使用.frend文件扩展名，它将其添加到已由其加密的文件中。勒索软件旨在扰乱受其攻击的计算机上的文件。勒索软件还丢失了一份赎金票据文件，其中包含Dharma的敲诈勒索消息，旨在通知受害者支付赎金以使加密文件恢复正常。如果您的计算机已被.frend变种的Dharma勒索病毒感染，我们建议您仔细阅读本文。

名称	扩展名.frend勒索病毒
类型	勒索软件，Cryptovirus
简短的介绍	TEXTTT
症状	TEXTTT
分配方法	垃圾邮件，电子邮件附件，可执行文件
检测工具	查看您的系统是否受扩展名.frend勒索病毒 Dharma 的影响

Dharma .frend扩展名勒索病毒 - 分发方法

根据有关Dharma勒索软件的最新信息，该病毒旨在说服受害者，由其重新分发的文件是合法的，但它使用狡猾的策略进行复制。

一种策略是通过大规模垃圾邮件活动发送病毒，该活动针对所有类型的用户。电子邮件传播通常包含感染文件作为恶意附件：

除了电子邮件之外，勒索软件还可能因上传到各种不同类型的网站而传播，其中导致感染的病毒文件本身可能伪装成合法文件，如：

• Setup.安装文件
• Crack.
• Patch.补丁
• Key generator.破解码生成器
• Portable executable for a problem.可移植的问题可执行文件。

无论Dharma勒索软件的分布情况如何，病毒都可能被大规模复制，并且可能是某人可能完全编码或在深度网站上购买它的源代码。

Dharma .frend扩展名勒索病毒 - 更多信息

一旦Dharma勒索软件通过它在受感染的机器上进行感染，病毒就可能开始将其病毒文件丢弃在受害者的受感染计算机上。Dharma .frend勒索软件的主要感染文件是添加了以下信息：

→SHA-256：3235e03928b204a9586cbdf7956c83108e102d6a1538ef58c1c3812420c8908a 
文件名：shafao.exe 
文件大小：92.5 KB

然后，Dharma勒索软件可以激活它的有效载荷，一旦完成，就可以在受害者机器上执行以下活动：

• 篡改子键。
• 创建互斥锁。
• 删除备份和卷影副本。
• 禁用Windows恢复。
• 创建任务并安排它们。
• 从受感染的计算机获取信息并将其发送到网络罪犯的C＆C服务器。
• 检查它是否在实际操作系统或虚拟环境中运行。

要删除comrpomised机器上的卷影副本，Dharma勒索软件可以作为管理员运行以下命令：

→sc stop VVS 
sc stop wscsvc 
sc stop WinDefend 
sc stop wuauserv 
sc stop BITS 
sc stop ERSvc 
sc stop WerSvc 
cmd.exe / C bcdedit / set {default} recoveryenabled否
cmd.exe / C bcdedit / set {default} bootstatuspolicy ignoreallfailures 

C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet

此外，该病毒还可能在以下Windows注册表子项中创建注册表值：

→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ 
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \

Dharma .frend - 加密过程

为了加密已被此病毒感染的计算机上的文件，它可能会立即开始加密在其代码中预先设置的文件。Dharma .frend扩展名勒索病毒可以加密以下文件类型的文件：

→“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL。 APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER。 CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF编码文件.HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio文件.AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA视频文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV。

Dharma勒索软件的.frend变体也非常聪明，可以跳过加密Windows和系统文件以及属于驱动程序的文件。

文件加密后，Dharma勒索软件将.frend文件扩展名添加到受害者的计算机上，其中有一封用于联系的电子邮件和一个唯一的ID

删除Dharma .frend并尝试恢复.frend扩展名勒索病毒文件

由于Dharma勒索软件是一种高级威胁，而且非常难以预测，因此在您尝试删除病毒之前进行备份是非常强烈的，因为如果您篡改文件，则可能会损坏您的文件。

要删除Dharma勒索软件，我们建议您按照本文下面的删除说明进行操作。创建它们是为了帮助您通过手动查找病毒文件来删除病毒文件，也可以通过使用杀毒软件扫描计算机来自动（推荐）删除病毒文件。

此外，如果您想尝试恢复由Dharma勒索软件加密的文件，我们建议您尝试使用下面的替代文件恢复方法。他们可能无法恢复您的所有文件，但在他们的帮助下，您可能至少可以恢复部分数据。

1.以安全模式启动PC以隔离和删除.frend Dharma 勒索病毒文件和对象

对于Windows XP，Vista和7系统：

1.删​​除所有CD和DVD，然后从“ 开始 ”菜单重新启动PC 。
2.选择以下两个选项之一：

- 对于具有单个操作系统的PC：在计算机重新启动期间出现第一个引导屏幕后，反复按“ F8 ”。如果Windows徽标出现在屏幕上，则必须再次重复相同的任务。

- 对于具有多个操作系统的PC：箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述，按“ F8 ”。

 

3.出现“ 高级启动选项 ”屏幕时，使用箭头键选择所需的安全模式选项。在进行选择时，按“ Enter ”。

4.使用管理员帐户登录计算机。当您的计算机处于安全模式时，屏幕的所有四个角都会出现“ 安全模式 ” 字样。

2.在您的PC上查找.frend Dharma勒索病毒创建的文件

在较旧的Windows操作系统中，传统方法应该是有效的方法：

第1步:单击“ 开始菜单”图标（通常在左下角），然后选择“ 搜索”首选项。

第2步:出现搜索窗口后，从搜索助手框中选择“ 更多高级选项 ”。另一种方法是单击“ 所有文件和文件夹”。

第3步:之后，键入要查找的文件的名称，然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件，可以通过右键单击来复制或打开其位置。现在，您应该能够在Windows上发现任何文件，只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。

3.使用杀毒软件工具扫描恶意软件和恶意程序

4.尝试恢复.frend扩展名 Dharma 勒索病毒加密的文件

勒索软件感染和.frend后缀 Dharma 勒索病毒旨在使用加密算法加密您的文件，这可能很难解密

方法1：使用Data Recovery软件扫描驱动器的扇区。
恢复文件的另一种方法是尝试通过数据恢复软件恢复文件。

方法2：尝试解密器。
如果第一种方法不起作用，我们建议尝试将解密器用于其他勒索软件病毒，以防您的病毒成为它们的变体。

方法3：使用Shadow Explorer

要在备份设置的情况下恢复数据，在Windows中使用以下软件检查卷影副本（如果勒索软件尚未删除它们）非常重要：

方法4：在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。

解密文件的另一种方法是使用网络嗅探器获取加密密钥，同时在系统上加密文件。网络嗅探器是监视通过网络传输的数据的程序和/或设备，例如其互联网流量和互联网数据包。

探数信息科技专业对您的病毒加密数据进行分析处理，关注勒索病毒数据恢复交流公众号：