.FileFuck是勒索病毒是HiddenTear的一种变体,用于在不使用扩展名的情况下重写文件名。该FileFuck病毒可能仍然在发展,根据恶意软件研究,但如果你的电脑被感染,将加密文件。
.FileFuck 勒索病毒 - 感染方法
.FileFuck勒索病毒可以通过各种方法传播其感染。启动此勒索软件恶意脚本的有效负载滴管正在万维网上传播,研究人员已经开始研究恶意软件样本。如果该文件落在您的计算机系统上并且您以某种方式执行它 - 您的计算机系统将被感染。您可以在此处查看VirusTotal服务上此类文件的检测:
.FileFuck勒索病毒还可能在社交媒体和文件共享服务上分发其有效负载文件。在Web上找到的免费软件可以显示为有用的隐藏密码病毒的恶意脚本。下载后立即停止打开文件。您应该首先使用安全工具扫描它们,同时还要检查它们的大小和签名以查找看似异常的任何内容
.FileFuck 勒索病毒 - 详细信息
.FileFuck是一种勒索病毒,恶意软件安全研究人员发现它是HiddenTear开源项目的变种。
.FileFuck勒索软件可能会在Windows注册表中创建条目以实现持久性,并可以在Windows环境中启动或抑制进程。此类条目通常设计为在每次启动Windows操作系统时自动启动病毒。
赎金票据出现在GUI窗口内,如下图所示:
FileFuck勒索软件的注释表明您的文件已加密。未说明可能解锁文件的赎金。然而,即使是,你应该不是在任何情况下支付任何赎金。您的文件可能无法恢复,没有人可以保证。
.FileFuck 勒索病毒 - 加密过程
由于FileFuck勒索软件是HiddenTear变种,它可以寻求使用这些扩展来加密文件:
→.txt,.doc,.docx,.xls,.xlsx,.pdf,.pps,.ppt,.pptx,.odt,.gif,.jpg,.png,.db,.csv,.sql ,. mdb.sln.php,.asp,.aspx,.html,.xml,.psd,.frm,.myd,.myi,.dbf,.mp3,.mp4,.avi,.mov,.mpg,.rm ,.wmv,.m4a,.mpa,.wav,.sav,.gam,.log,.ged,.msg,.myo,.tax,.ynab,.ifx,.ofx,.qfx,.qif ,. qdf,.tax2013,.tax2014,.tax2015,.box,.ncf,.nsf,.ntf,.lwp
每个加密的文件都会收到一个名称重写,这就是所有文件都被FileFuck永远搞砸了!你不能阻止我们。实施的加密算法无疑是AES,因为它是HiddenTear开源勒索软件项目的变种。
可以使用以下命令将FileFuck加密病毒设置为从Windows操作系统中清除所有Shadow Volume Copies:
→vssadmin.exe delete shadows /all /Quiet
如果执行上述命令将使加密过程更加高效,因为它将消除恢复数据的可能方法之一。如果您的计算机已感染此勒索软件并且您的文件已被锁定,请继续阅读以了解如何可能恢复您的数据。
要删除.FileFuck勒索病毒并恢复,请按照下列步骤操作:
1.以安全模式启动PC以隔离和删除FileFuck文件和对象
对于Windows XP,Vista和7系统:
1.删除所有CD和DVD,然后从“ 开始 ”重新启动PC ”菜单。
2.
- 对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“ F8 ”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
- 对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“ F8 ”。
3.出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机,当您的计算机处于安全模式时,屏幕的所有四个角都会出现“ 安全模式 ” 字样。
4.修复由PC上的恶意软件和PUP创建的注册表项。某些恶意脚本可能会修改计算机上的注册表项以更改不同的设置。这就是建议清理Windows注册表数据库的原因。由于有关如何执行此操作的教程有点长,如果操作不当,篡改注册表可能会损坏您的计算机,如果您在该领域缺乏经验,可参照链接 修复由恶意病毒软件引起的Windows注册表错误
2.在PC上查找FileFuck创建的文件
适用于较旧的Windows操作系统
在较旧的Windows操作系统中,传统方法应该是有效的方法:
1.单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项。
2.出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
3.之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置。现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序
4.尝试恢复由FileFuck加密的文件
勒索病毒软件感染和FileFuck旨在使用加密算法加密您的文件,这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住,这些方法可能不是100%有效,但也可能在不同情况下帮助您一点或多少。
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试杀毒软件的解密器。
方法3:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
解密文件的另一种方法是使用网络嗅探器获取加密密钥,同时在系统上加密文件。网络嗅探器是监视通过网络传输的数据的程序和/或设备,例如其互联网流量和互联网数据包。如果在攻击发生之前设置了嗅探器,则可能会获得有关解密密钥的信息。
.enc后缀勒索病毒删除+.enc文件数据恢复(卸载指南) Aperfectday2018病毒可参照链接
关注服务号,交流更多解密文件方案和恢复方案:
