Soft2Secure

Cesar 勒索 病毒:如何解密 .cesar, .cezar, .arena 文件

Cesar 勒索 病毒:如何解密 .cesar, .cezar, .arena 文件

本文提供了全新的Crysis / Dharma 勒索病毒變體的詳細信息,它將.cesar / .cezar / .arena擴展名附加到加密文件。

以前被稱為佛法的“孤島危機”勒索病毒在幾個月不活動之後突然醒來。 此外,在2017年5月下旬,停播還伴隨著一個匿名的主解密密鑰的轉儲。雖然這樣的事件往往表明一個競選活動停止了,但地下網絡犯罪的人們顯然有不同的看法。 Crysis / Dharma 勒索病毒波的最新爆發是圍繞一個變種,玷污了一個.cesar擴展名的編碼文件。 一些最近的報告也揭示了.cezar/.arena文件版本。 但是,這個字符串只是連接擴展的一部分。 之前是受害者的身份證件和威脅演員的聯繫電子郵件地址以便受感染的用戶從獲取到的數據解密中獲得不少線索。

這個數據調整工作流程的結果是,任意文件名以下列格式與擴展名令牌連接:.id- {8-char victim ID}。[email address] .cesar。 例如,一個名為Coffee.jpg的示例項目將變成像Coffee.jpg.id-C21FD978。[[email protected]] .cesar。 請注意,郵件部分可能會有所不同。 除上述之外,可以是[email protected][email protected][email protected]。 電子郵件地址變量最有可能表示一個特定的“會員”,能夠將執行代碼存入電腦。 有不同類型的網絡解碼員同時分發Cesar 勒索病毒版本的Crysis,每個都有自己的聯繫人。

Cesar爾勒索 Info.hta救援单

與通過惡意垃圾郵件傳播的大多數文件加密系統相反,Cesar病毒通過遠程桌面協議進行回合。 攻擊者強力RDP憑據以便遠程滲透系統。 這樣,他們可以在受感染的電腦上執行隨機代碼。 在Cesar的情況下,麻煩製作過程被命名為bars.exe。 當部署在機器中時,此可執行文件將刪除受影響的文件的“影子副本”,並在操作系統啟動時添加一個註冊表值以運行。 然後,勒索病毒掃描本地驅動器和可移動驅動器(如果有),以便預定義的數據格式列表。 它對在此掃描期間檢測到的每個文件進行加密。

而對於所有人質文件的擴展程序在用戶應該做什麼方面是非常不言自明的,而Cesar病毒還會將一個名為Info.hta的贖金註釋放到桌面上。 根據本說明,受害者必須向文件擴展名的.cesar部分之前的方括號中指明的電子郵件地址發送消息。 被困的用戶被指示將他們的個人ID包括在這封電子郵件中。 重罪將以贖金的大小和比特幣的錢包地址進行回复。 作為解密工具的保證,敲詐者可以聲稱還原最多三個文件,其總大小不超過10 MB。 總而言之,與其依靠壞人的承諾并通過痛苦的收購程序,我們可以從下面的備選數據恢復選項開始。

Cesar勒索軟體自動刪除和數據恢復

由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:

  • 下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件

    下載Cesar勒索軟件清除器

  • 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。

恢復加密的Cesar檔案的方法

解決方法1:使用文件恢復軟件

很重要的是Cesar勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。

下载Stellar Data Recovery Professional


下載數據恢復高級版

解決方法2:利用備份

首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。

解決方法3:使用卷影副本卷

如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。

  • 使用之前版本功能勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。
    解決方法3:使用卷影副本卷
  • 應用ShadowExplorer以上過程可以通過一款名為
    ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載
    並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。
    ShadowExplorer

驗證Cesar勒索軟件是否完全被刪除

除此之外,單單只是Cesar勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。

下載Cesar勒索軟件清除器