Soft2Secure

刪除WannaSister勒索軟件並解密.UIWIX病毒

刪除WannaSister勒索軟件並解密.UIWIX病毒

最近令人不安的WannaCry 勒索軟件事件顯然激發了其他網絡攻擊者的追捧。 快速開始出現了一大堆複製品,其中一些是粗糙的,但一些量身定制的專業性足以成為一個主要問題。這些衍生品中最新的一個被稱為UIWIX。 然而,其製造商在幾方面進一步發展。

什麼是WannaSister UIWIX勒索軟件?

新的UIWIX 勒索軟件是一種文件加密感染,它使用WannaSister.exe進程來產生毒性影響。可執行文件名稱讓人聯想到在過去兩周里一直在猖獗的WannaCry新聞的病毒。 雖然這次新運動似乎有一個有形的模仿色彩,但這兩個樣本最有可能獨立發展。 WannaSister UIWIX贖金特洛伊木馬行為方面的主要區別之一就是利用無文件感染機制。 換句話說,它在內存中執行, 而不是從某個系統位置啟動 -在妥協的早期階段其有效載荷被丟棄。這種隱形方法允許在反恶意工具雷達偵查不到的情况下进行。

WannaSister UIWIX勒索軟件

WannaSister UIWIX已經污染了Windows電腦,首先進行了一些偵察。它特別地檢查系統的虛擬機的痕跡。 如果檢測到時將不會進行攻擊。 另一個聰明的舉措旨在防止分析師逆向工程勒索軟件代碼。有害病毒配备了内置的目标文件格式列表。 因此,它會根據這些標準交叉檢查存儲在電腦和網絡驅動器上的數據以便列出最有價值的文檔,圖像,視頻,數據庫等。 然後,它應用兩個加密算法的組合,令文件無法取讀。 這些密碼系統包括CBC(密碼塊鏈接)模式中的RC4和AES-256。

UIWIX付款頁面上

作為數據偏移程序的一部分,WannaSister的病毒重命名目標文件。具體來說,它保留原始名稱不變,但用._ [受害者ID] .UIWIX字符串附加它們,其中唯一ID部分由10位數組成。因此,例如,一個名為Prices.xlsx的文件將變成像..xlsx._8323679218.UIWIX這樣的文件。攻擊的另一個副產品出現了明文贖金筆記_DECODE_FILES.txt。這些將被丟棄到具有人質數據和桌面的受影響的文件夾中。有趣的是敲詐勒索者顯然混淆了他們在“恢復手冊”的介紹中所寫的“所有個人文件都被解碼”的概念。它應該已經被“編碼”了。倘若要進行解密,受害者被指示安裝Tor瀏覽器並訪問how-to文檔中列出的URL之一。最終,受感染者最終在UIWIX付款頁面上,該頁面告訴他們向受害者特定的比特幣地址提交0.12 BTC(約300美元)。

值得注意的是,WannaSister UIWIX 勒索軟件和WannaCry baddie在傳播方法方面有一些共同點。 新來者也採用了EternalBlue,樣的NSA漏洞被更多的同行使用。這個漏洞允許襲擊背後的威脅行為者利用SMB(服務器消息阻止)漏洞將惡意代碼注入到受影響人後面的電腦中。 不幸的是,在這種情況下,密碼實現太強大,無法破解,所以困擾用戶被束縛從重罪購買解密服務或嘗試一些法醫的提示和技巧。

WannaSister UIWIX勒索軟體自動刪除和數據恢復

由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:

  • 下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件

    下載WannaSister UIWIX勒索軟件清除器

  • 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。

恢復加密的WannaSister UIWIX檔案的方法

解決方法1:使用文件恢復軟件

很重要的是WannaSister UIWIX勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。

下载Stellar Data Recovery Professional


下載數據恢復高級版

解決方法2:利用備份

首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。

解決方法3:使用卷影副本卷

如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。

  • 使用之前版本功能勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。
    解決方法3:使用卷影副本卷
  • 應用ShadowExplorer以上過程可以通過一款名為
    ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載
    並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。
    ShadowExplorer

驗證WannaSister UIWIX勒索軟件是否完全被刪除

除此之外,單單只是WannaSister UIWIX勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。

下載WannaSister UIWIX勒索軟件清除器