【勒索病毒恢复】[deepinweb].eking勒索病毒扩展名
作者:互联网
目录
2.[deepinweb].eking勒索病毒是如何感染我的电脑的?
3.如何删除.[deepinweb].eking勒索病毒?下载删除工具。
6.如何避免.[deepinweb].eking勒索病毒进攻?
1.[deepinweb].eking勒索病毒介绍?
[deepinweb].eking 属于Phobos勒索软件家族。它对文件进行加密、重命名并生成大量赎金信息。Eking 通过添加受害者的 ID、deepinweb@tuta.io 电子邮件地址并将“ .eking ”扩展名附加到文件名来重命名文件。
例如,它将“ 1.jpg ”重命名为“ 1.jpg.id[1E857D00-2275].[deepinweb@tuta.io].eking ”,“ 2.jpg ”为“ 2.jpg.id[1E857D00-2275” ].[deepinweb@tuta.io].eking ”,等等。它在弹出窗口(“ info.hta ”)中显示赎金消息,并在文本文件(“ info.txt ”)中创建另一个。
info.hta 和 info.txt 赎金消息指出,受害者必须通过向 deepinweb@tuta.io 或 deepinweb@protonmail.com 发送电子邮件并等待进一步指示来联系 Eking 的开发人员。如果受害者在 24 小时内未收到回复,则敦促他们通过提供的 Tor 网站链接联系网络犯罪分子。
他们还提供最多五个文件的免费解密,可以在支付解密费用之前将其发送给 Eking 的开发人员。不幸的是,没有其他工具可以解密被 Eking 勒索软件破坏的文件——只有 Eking 的开发人员拥有有效的解密工具。
请注意,勒索软件开发人员即使在付款后也不会发送解密工具/密钥。因此,信任网络犯罪分子的受害者经常被骗。通常,恢复对因勒索软件攻击而丢失的文件的访问权限的唯一方法是从备份中恢复它们。
从操作系统中卸载 Eking 将阻止进一步加密,但是,即使在删除勒索软件后,已经加密的文件仍然无法访问。
一条鼓励用户支付赎金以解密受感染数据的消息的屏幕截图:
2.[deepinweb].eking勒索病毒是如何感染我的电脑的?
然而,现在Eking注入只有两种方式——垃圾邮件和木马。您可能会在电子邮件中看到很多消息,说明您需要支付不同的账单或从当地的 FedEx 部门获取包裹。但所有这些消息都是从未知的电子邮件地址发送的,而不是这些公司熟悉的官方电子邮件。所有这些信件都包含附件,用作勒索软件载体。如果您打开此文件 – 您的系统将被 Eking 感染。
如果存在特洛伊木马,您将被要求以合法的名义在您的 PC 上下载并安装勒索软件,例如 Chrome 更新或您存储在计算机上的软件的更新。有时,特洛伊木马病毒可以伪装成合法程序,勒索软件将作为重要更新或大量扩展程序提供下载,这些扩展程序对于程序正常运行至关重要。
还有第三种勒索软件注入方式,但是,它变得越来越不流行。我指的是对等网络,例如种子或 eMule。没有人可以控制在种子中打包哪些文件,因此您可以在下载后发现一大堆不同的恶意软件。如果情况迫使您从对等网络下载某些内容 - 使用防病毒软件扫描每个下载的文件夹或存档。
Eking 加密文件的屏幕截图(“ .eking ”扩展名)
![Eking 病毒 - 加密的 .id[xxxxxxxx-3093].[johnsonz@keemail.me].eking 文件](https://www.icode9.com/i/ll/?i=img_convert/d90c26381e31ed5af17d96acd235fbc2.png)
| Name | 埃金病毒 |
| 威胁类型 | 勒索软件、加密病毒、文件柜。 |
| 加密文件扩展名 | .eking |
| 赎金要求消息 | info.hta 和 info.txt |
| 检测名称 | Avast (Win32:PWSX-gen [Trj])、BitDefender (Trojan.GenericKD.33855769)、ESET-NOD32(MSIL/GenKryptik.EKSC 的变种)、卡巴斯基 (HEUR:Trojan-PSW.MSIL.Agensla.gen)、检测的完整列表(VirusTotal) |
| 流氓进程名称 | 战列舰(其名称可能会有所不同) |
| 症状 | 无法打开存储在您计算机上的文件,以前的功能文件现在具有不同的扩展名(例如,my.docx.locked)。赎金要求消息显示在您的桌面上。网络犯罪分子要求支付赎金(通常是比特币)以解锁您的文件。 |
| 分配方式 | 受感染的电子邮件附件(宏)、种子网站、恶意广告。 |
| 损害 | 所有文件都经过加密,不支付赎金就无法打开。其他窃取密码的木马和恶意软件感染可以与勒索软件感染一起安装。 |
3.如何删除.[deepinweb].eking勒索病毒?下载删除工具。
常用的工具例如 360杀毒,火绒安全,金山杀毒都可以检测出.[deepinweb].eking勒索并对其进行查杀。
除了对受害者的文件进行编码外,Eking 病毒还开始在系统上安装Azorult间谍软件,以窃取帐户凭据、加密货币钱包、桌面文件等。
为确保勒索软件分发者确实拥有解密工具,他们可能会提供对多个加密文件的解密。他们是这个解密程序的唯一所有者:Eking 勒索软件是一种全新的类型,因此没有来自反恶意软件供应商的合法程序可以解密您的文件。但这种情况正在形成:解密工具每个月都在更新。然而,支付赎金也是一个错误的决定。无法保证 Eking 勒索软件开发人员会向您发送解密工具和正确的解密密钥。并且在很多情况下,勒索软件分发者会欺骗受害者,发送错误的密钥甚至什么都不发送。在大多数情况下,有一种方法可以免费恢复您的文件。搜索可用的备份,并使用它恢复您的系统。当然,您找到的备份可能太旧,并且不包含您需要的大量文件。但是,至少您可以确定系统中没有恶意软件。但是,为确保备份后系统中没有恶意程序,您需要使用反恶意软件软件扫描您的PC。
Eking 勒索软件并非独一无二。这种类型的勒索软件有更多:Wskvke、JjIf、Ransometoad. 这些勒索软件示例的行为方式类似:加密您的文件、添加特定扩展名,并在每个文件夹中留下大量赎金钞票。但是,这些勒索软件之间有两点不同——用于文件加密的密码算法和赎金金额。在某些情况下,受害者无需支付任何费用就可以解密他们的文件,只需使用几个反恶意软件供应商提供的免费解决方案,甚至使用勒索软件创建者提供的解密工具。当勒索软件分发者在赎金钞票中输入您的解密密钥时,可能出现最后一种情况。然而,正如你已经猜到的那样,这样的运气是非常罕见的。勒索软件是为了赚钱而创建的,而不是为了开玩笑或吓唬人。
4.如何恢复.[deepinweb].eking勒索病毒?
大多数勒索软件类型感染使用的加密算法都非常复杂,如果正确执行加密,则只有开发人员才能恢复数据。这是因为解密需要在加密期间生成的特定密钥。没有密钥恢复数据是不可能的。在大多数情况下,网络犯罪分子将密钥存储在远程服务器上,而不是将受感染的机器用作主机。Dharma (CrySis)、Phobos 和其他高端勒索软件感染几乎完美无缺,因此在没有开发人员参与的情况下恢复加密数据是根本不可能的。尽管如此,仍有数十种勒索软件类型的感染开发不佳并包含许多缺陷(例如,为每个受害者使用相同的加密/解密密钥、本地存储的密钥等)。在互联网上找到正确的解密工具可能性非常低。出于这个原因,我们建议您翻阅No More Ransom Project 地址,这是识别勒索软件感染的网站并且检测当前软件有没有免费的解密软件。No More Ransom Project 网站包含一个带有搜索栏的“解密工具”部分。输入识别出的勒索软件的名称,将列出所有可用的解密器(如果有)。有需要V(data966)免费咨询!
5.经常遇上的问题:
1.如何打开.[deepinweb].eking”加密的文件?
基本上不可能。这些文件由.[deepinweb].eking勒索病毒加密。勒索病毒文件的内容在解密之前不可用。
2 .[deepinweb].eking勒索病毒文件包含重要信息。我怎样才能紧急解密它们?
如果是数据库文件可以进行修复提取,如果hi文档只能寻求密钥解密的方式
3.如果使用杀毒软件 删除.[deepinweb].eking勒索病毒。这是否意味着该杀毒软件程序将删除我的加密文件?
当然不是。您的加密文件不会对计算机构成威胁。杀毒软件会识别和区分勒索软件威胁。
6.如何避免.[deepinweb].eking勒索病毒进攻?
- 忽略来自未知来源的可疑邮件,因为它们可能包含恶意链接,一旦您点击它们就会导致病毒渗透。
- 切勿点击可疑广告或超链接,因为它们可能会将您重定向到充满恶意对象的高传染性网站。
- 仅从可靠来源下载任何软件,并始终选择自定义/高级设置来安装应用程序
- 使用可靠且功能强大的反恶意软件程序并不时更新它。
标签:eking,加密,解密,勒索,软件,deepinweb,病毒 来源: https://blog.csdn.net/qq_38513310/article/details/121971316