| 名字 | .docx勒索病毒 |
| 類型 | 勒索軟件, Cryptovirus |
| 簡短描述 | 加密你的文件, 並要求你支付贖金, 讓他們再次打開。 |
| 症狀 | 文件將附加到. docx 文件擴展名。一個叫YOU_FILES_HERE的贖金紙條被遺留在受害者的電腦上。 |
| 分配方法 | 垃圾郵件, 電子郵件附件, 可執行文件 |
.docx 文件後綴勒索病毒–分發方法
可能有不止一種方式通過此. docx 勒索軟件可能會傳播到用戶的計算機上。病毒的主要想法是讓用戶打開它的惡意文件。這就是爲什麼感染文件可能僞裝成一個合法的文件發送給受害者通過垃圾郵件電子郵件, 模仿一個合法的, 此外, 勒索病毒也可能隱藏爲可供下載的合法文件。這樣的文件通常會變成軟件的假冒安裝程序, 其主要目標是讓用戶下載並運行它們。它們也變成了假裂紋、補丁、許可證激活劑和其他類型看似合法的 .exe 和. msi 文件
. docx 文件後綴勒索病毒–分析
. docx文件擴展名病毒現在沒有名稱, 但可以很容易地識別贖金說明。它稱爲YOU_FILES_HERE ,
報告的. docx 文件病毒的主要惡意文件具有以下參數:
→ SHA256:30ec73110c97a5ac5e923324b6874c41777a31b9b8a95467babcb9fb6bd3e982
name: 25d7ebac. gxe
當. docx 文件病毒感染您的計算機時, 惡意軟件可能會開始與以下 Windows 系統文件進行交互:
→ advapi32.dll
comctl32.dll
gdi32.dll
kernel32.dll
oleaut32.dll
user32.dll version.dll
勒索軟件使用這些系統文件執行大量的過程調用和操作, 否則將被未經授權。
其中之一是可能在以下 Windows 註冊表子項中創建註冊表項:
→ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
. docx 文件病毒的另一個惡意活動可能是刪除受感染計算機的卷影卷副本, 最好通過運行使用以下命令執行 Windows 命令提示符的腳本刪除受感染 PC 上的已備份文件:
→ sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
. docx 文件後綴勒索病毒–加密過程
要加密文件, . docx 勒索軟件可能會首先檢查它們。爲此, 病毒可能會根據文件類型掃描文檔、圖像、視頻和其他重要文件, 例如:
→ “PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”
加密後, 文件不能再打開, 並且可能出現如下所示:
刪除. docx文件後綴勒索病毒並嘗試還原您的文件
1. 在安全模式下啓動電腦以隔離和刪除. docx 文件病毒文件和對象
第1步:卸下所有 cd 和 dvd, 然後從 "開始" 菜單中重新啓動電腦。
第2步:
–對於具有單個操作系統的 pc: 在計算機重新啓動過程中, 在第一個啓動屏幕顯示後重覆按 "F8"。如果Windows 徽標出現在屏幕上, 則必須再次重複相同的任務。
–對於具有多個操作系統的 pc: 這家箭頭鍵將幫助您選擇您喜歡在安全模式下啓動的操作系統。按 "F8", 就像對單個操作系統所描述的那樣。
第3步:當出現 "高級啓動選項" 屏幕時, 選擇您想要使用箭頭鍵的安全模式選項。在您進行選擇時, 按 "enter"。使用管理員帳戶登錄到您的計算機
第4步:修復計算機上惡意軟件和 pup 創建的註冊表項。
某些惡意腳本可能會修改計算機上的註冊表項以更改不同的設置。這就是建議清理 Windows 註冊表數據庫的原因。因爲關於如何做到這一點的教程是有點長, 篡改註冊表可能會損壞您的計算機,
如果您不是很瞭解註冊表,可參照鏈接 修復由惡意病毒軟件引起的Windows註冊表錯誤
2. 查找由. docx 文件創建的文件病毒在您的電腦上
第1步:啓動菜單win+R "運行" 文本框中寫入explorer.exe , 然後單擊"確定" 按鈕.
第2步:從快速訪問欄中單擊您的電腦。這通常是一個顯示器的圖標, 它的名字是"我的電腦", "我的電腦" 或"這臺電腦"或任何你命名它。
第3步:導航到電腦屏幕右上方的搜索框, 然後鍵入"fileextension:" , 然後鍵入文件擴展名。如果您正在尋找惡意的可執行文件, 一個示例可能是"fileextension:exe"。這樣做後, 留下一個空格, 並鍵入您認爲惡意軟件已創建的文件名。如果找到您的文件, 則會顯示以下方法:
3. 使用高級反惡意殺毒軟件工具掃描惡意軟件和有害程序
4. 嘗試還原由. docx 文件病毒加密的文件
勒索軟件感染和. docx 文件病毒目的是加密您的文件使用加密算法, 這可能是非常難以解密。這就是爲什麼我們建議了幾種可幫助您繞過直接解密並嘗試還原文件的替代方法。請記住, 這些方法可能不是100% 有效的, 但也可能幫助您在不同的情況下一點點或很多。
方法 1: 使用數據恢復軟件掃描驅動器的扇區.
方法 2: 嘗試殺毒軟件的解密器.
方法 3: 查找解密密鑰, 通過網絡嗅探工具在勒索病毒發送密鑰至服務器的過程中找到它。
解密文件的另一種方法是使用網絡嗅探器獲取加密密鑰, 而文件在系統上加密。網絡嗅探器是通過網絡傳輸的程序和/或設備監視數據, 例如 internet 流量和 internet 數據包。如果在發生***之前有一個嗅探器設置, 您可能會獲得有關解密密鑰的信息。
.vanss勒索病毒刪除 .vanss文件後綴勒索病毒數據恢復 (Dharma刪除)可參照鏈接
關注服務號,交流更多數據恢復方案和數據解密方案:
