Soft2Secure

刪除WannaSister勒索軟件並解密.UIWIX病毒

刪除WannaSister勒索軟件並解密.UIWIX病毒

最近令人不安的WannaCry 勒索軟件事件顯然激發了其他網絡攻擊者的追捧。 快速開始出現了一大堆複製品,其中一些是粗糙的,但一些量身定制的專業性足以成為一個主要問題。這些衍生品中最新的一個被稱為UIWIX。 然而,其製造商在幾方面進一步發展。

什麼是WannaSister UIWIX勒索軟件?

新的UIWIX 勒索軟件是一種文件加密感染,它使用WannaSister.exe進程來產生毒性影響。可執行文件名稱讓人聯想到在過去兩周里一直在猖獗的WannaCry新聞的病毒。 雖然這次新運動似乎有一個有形的模仿色彩,但這兩個樣本最有可能獨立發展。 WannaSister UIWIX贖金特洛伊木馬行為方面的主要區別之一就是利用無文件感染機制。 換句話說,它在內存中執行, 而不是從某個系統位置啟動 -在妥協的早期階段其有效載荷被丟棄。這種隱形方法允許在反恶意工具雷達偵查不到的情况下进行。

WannaSister UIWIX勒索軟件

WannaSister UIWIX已經污染了Windows電腦,首先進行了一些偵察。它特別地檢查系統的虛擬機的痕跡。 如果檢測到時將不會進行攻擊。 另一個聰明的舉措旨在防止分析師逆向工程勒索軟件代碼。有害病毒配备了内置的目标文件格式列表。 因此,它會根據這些標準交叉檢查存儲在電腦和網絡驅動器上的數據以便列出最有價值的文檔,圖像,視頻,數據庫等。 然後,它應用兩個加密算法的組合,令文件無法取讀。 這些密碼系統包括CBC(密碼塊鏈接)模式中的RC4和AES-256。

UIWIX付款頁面上

作為數據偏移程序的一部分,WannaSister的病毒重命名目標文件。具體來說,它保留原始名稱不變,但用._ [受害者ID] .UIWIX字符串附加它們,其中唯一ID部分由10位數組成。因此,例如,一個名為Prices.xlsx的文件將變成像..xlsx._8323679218.UIWIX這樣的文件。攻擊的另一個副產品出現了明文贖金筆記_DECODE_FILES.txt。這些將被丟棄到具有人質數據和桌面的受影響的文件夾中。有趣的是敲詐勒索者顯然混淆了他們在“恢復手冊”的介紹中所寫的“所有個人文件都被解碼”的概念。它應該已經被“編碼”了。倘若要進行解密,受害者被指示安裝Tor瀏覽器並訪問how-to文檔中列出的URL之一。最終,受感染者最終在UIWIX付款頁面上,該頁面告訴他們向受害者特定的比特幣地址提交0.12 BTC(約300美元)。

值得注意的是,WannaSister UIWIX 勒索軟件和WannaCry baddie在傳播方法方面有一些共同點。 新來者也採用了EternalBlue,樣的NSA漏洞被更多的同行使用。這個漏洞允許襲擊背後的威脅行為者利用SMB(服務器消息阻止)漏洞將惡意代碼注入到受影響人後面的電腦中。 不幸的是,在這種情況下,密碼實現太強大,無法破解,所以困擾用戶被束縛從重罪購買解密服務或嘗試一些法醫的提示和技巧。

WannaSister UIWIX擴展病毒自動刪除

可以使用可靠的安全軟件有效地實現這種勒索軟件的終止。 堅持自動清理技術確保感染的所有組件從系統中徹底擦除。

  • 下載推薦的安全實用程序並通過選擇啟動電腦掃描選項來檢查PC是否存在惡意對象

    下載.UIWIX文件病毒刪除器

  • 掃描將顯示檢測到的項目列表。 單擊修復威脅以從系統中刪除病毒和相關的感染。 完成清理過程的這一階段最有可能導致徹底根除瘟疫。 現在你面臨一個更大的挑戰 -那是嘗試和獲取您的數據。

恢復加密的.UIWIX文件的方法

解決方法1:使用文件恢復軟件

要知道的是 WannaSister病毒將會創建您的文件的副本並加密它們。 同時原始文件被刪除。 在那裡有應用程序可以恢復刪除的數據。 您可以使用像數據恢復Pro這樣的工具。最新在考虑中的勒索软件版本趨向於使用幾個覆蓋應用安全刪除,但在任何情況下,這種方法是值得一試。

Data Recovery Pro

解決方法2:使用備份

首先,這是一個很好的方式來恢復您的文件。 它只適用於你已經備份存儲在您的機器上的信息。 如果是這樣不要失去受益於你的想法。

解決方法3:使用卷影副本

如果您不知道,只要在電腦上激活系統還原,操作系統就會創建所有文件的所謂影子卷副本。由於還原點是以指定的時間間隔創建的,因此會生成文件在此時出現的快照。請理解此方法不能確保恢復最新版本的文件。 這當然值得一試。 此工作流程可通過兩種方式來實現:手動和通過使用自動解決方案。 讓我們先來看看手動的過程。

  • 使用之前版本功能

    勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。

  • 應用ShadowExplorer

    以上過程可以通過一款名為 ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載 並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。ShadowExplorer

驗證是否已完全刪除WannaSister UIWIX勒索軟件

再者, 單獨刪除惡意軟件不會導致解密您的個人文件。在上面突顯的數據恢復方法可能會或可能不會幫到你,但勒索軟件本身不屬於您的電腦。 順便說一下,它經常伴隨其他惡意軟件,這就是為什麼需要反复掃描系統與自動安全軟件以確保沒有有害的病毒和相關的威脅遺留及留在Windows註冊表和其他位置的意義。

下載WannaSister UIWIX勒索軟件掃描儀和刪除器