'.guesswho文件扩展名'勒索软件

'.guesswho文件扩展名'勒索软件 介绍

“ .guesswho文件扩展”勒索软件是文件编码器特洛伊木马,于2019年4月24日被检测到。它感染了Windows操作系统的所有版本。当用户打开通过电子邮件收到的有害Microsoft Word文档时,“。guesswho File Extension”勒索软件木马似乎已登陆计算机,但它也可以通过恶意链接,torrent文件,色情网站,p2p文件共享,破解软件以及许多其他工具来安装。方法。这种勒索软件的行为类似于常规的加密恶意软件,并且具有较小的规模,这使得计算机安全专家很难将其链接到已知的勒索软件系列。 2018年和2019年的大多数勒索软件样本都是由勒索软件制造商制作的,很难区分它们。此外,一个威胁参与者可以使用多个勒索软件生成器。

但是,最新研究表明,“。guesswho文件扩展”勒索软件可以链接到Rapid Ransomware系列,该家族众所周知使用AES和RSA加密算法,并将以下扩展名附加到加密文件中:“。mouse”,“。no_more_ransom” ”,“。nano”,“。guesswho”,“。ezymn”,“。GILLETTE”和“ .rpd。[5个随机字符]”。这些勒索软件变种的受害者位于伊朗,美国,马来西亚,德国,日本,韩国,印度尼西亚,西班牙和其他国家。这个恶意软件系列要求以比特币的形式支付赎金,其中一个被检查的样本要求以等值的3,000美元来换取解密密钥。这种特殊的威胁还给在文件加密后72小时内付款的用户提供了50%的折扣。

“ .Guesswho文件扩展名”勒索笔记将其链接到另一个恶意软件家族

众所周知,“。guesswho文件扩展名”勒索软件会在锁定文件后附加“ .guesswho”扩展名,并向用户显示名为“ How Recovery Files.txt”的勒索信息,内容为:

'你好,亲爱的朋友!
您的所有文件均已加密
您真的要还原文件吗?
写信至我们的电子邮件– Rapidka@cock.li或notnepo@cock.lu
并告诉我们您的唯一ID-ID- [8个随机字符]'

将上面显示的消息与已知威胁进行比较只会导致更多问题,并将恶意软件链接到其他类似威胁。 “ .guesswho文件扩展名”勒索软件生成的通知与RPD 勒索软件PainLocker勒索软件生成的通知相同。最后两个勒索软件威胁属于不同的恶意软件家族-Everbe RansomwareRapid Ransomware 。因此,对“ .guesswho文件扩展名”勒索软件进行分类非常麻烦。受影响的用户无法访问Internet上的照片,下载的图像,MP3,MP4以及磁盘上的文档。

尚未对“ .guesswho文件扩展名”所采用的确切加密方法进行充分研究,但是,众所周知,勒索软件为每个受害者创建了一个单独的解密密钥,如果没有此密钥,则绝对不可能恢复损坏的文件。. 像大多数其他勒索软件威胁一样,此文件也删除了锁定文件的所有卷影副本,以防止它们被恢复,而受害者无法访问该密钥,因为该密钥保存在受威胁者控制的服务器上。

“ .Guesswho文件扩展名”勒索软件具有更危险的功能

除了文件加密模块外,“。guesswho File Extension”勒索软件还充当浏览器劫持者和数据窃取者。它以静默方式将自己的恶意插件,附加组件和其他危险代码安装到受害者的浏览器中,从而修改浏览器设置并设置到第三方网站的重定向,这些第三方网站的主要目的是促进赞助链接和产品并增强人工网络流量。此外,“。guesswho文件扩展”勒索软件可以在受感染的系统上打开后门,从而可以远程访问潜在的攻击者。这种威胁的另一个隐藏功能是窃取敏感的用户数据,这些数据以后可能会被骗子滥用。总体而言,“。guesswho文件扩展名”勒索软件消耗了受影响设备的性能,因为它消耗了系统资源并使重要文件无法访问。

不建议手动删除

我们不建议您尝试手动删除此勒索软件,特别是如果您是没有经验的用户。 “ .guesswho文件扩展名” Ransomware将其恶意脚本和文件安装在整个操作系统的不同位置,因此手动删除可能非常复杂且耗时。勒索软件在Windows注册表中创建自己的条目,可以在任务管理器中观察到其恶意进程,并且还可以在PC上安装的程序列表中检测到与该恶意软件相关的某些程序。属于“ .guesswho文件扩展”勒索软件的某些注册表项是:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ msseces.exe“ Debugger” ='svchost.exe'
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet设置“ WarnOnHTTPSToHTTPRedirect” ='0'
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \'。guesswho File Extension'Ransomware
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image文件执行选项\ msascui.exe“调试器” ='.guesswho文件扩展名'Ransomware
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet设置“ WarnOnHTTPSToHTTPRedirect” ='0'
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SystemRestore“ DisableSR” ='1'
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \运行“ xas”
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ ekrn.exe“ Debugger” ='.guesswho File Extension'勒索
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run“ 3948550101”
  • HKEY_CURRENT_USER \ Software \'。guesswho File Extension'Ransomware

我们也不建议通过“ rapidka@cock.li”,“ notnepo@cock.lu”或恶意软件参与者提供的任何其他电子邮件地址与攻击者联系。. 来自2019年8月的数据显示,“。guesswho文件扩展名”勒索软件的运营商已使用一些新的电子邮件地址与受害者进行通信,例如grupposupp @ airmail.cc,grupposupp @ protonmail.ch,directreserve @ airmail.cc和邮件@ rapid2019.com。

向“ .guesswho文件扩展名”勒索软件团队付款可能不够用,并且您可能仍然丢失数据。还原数据时,您应尝试使用备份工具和云服务。使用可靠的恶意软件删除工具清理受感染的设备。

您是否担心您的计算被'.guesswho文件扩展名'勒索软件 &或其他威胁感染? 用SpyHunter扫描您的电脑

SpyHunter是一款功能强大的恶意软件修复和保护工具,帮助用户进行深入的计算机系统安全分析,检测和清理如'.guesswho文件扩展名'勒索软件的\各种威胁,并提供一对一的技术支持服务。 下载SpyHunter的免费恶意软件清除器
请注意:SpyHunter的扫描仪用于恶意软件检测。如果SpyHunter在您的PC上检测到恶意软件,则需要购买SpyHunter的恶意软件清除工具以清除恶意软件威胁。查看更多关于SpyHunter的信息。免费的清除器可以使您可以进行一次性扫描,并在48小时等待时间内接受一次修复和清除。免费的清除器,需遵循促销详细信息和特殊促销条款。要了解我们的政策,还请查看我们的最终用户许可协议隐私政策威胁评估标准。如果您不再希望在计算机上安装SpyHunter,请参考这些步骤卸载SpyHunter

由于安全问题,您无法下载SpyHunter或访问网络?

解决方案: 您的计算机可能在内存中隐藏了恶意软件,以防止任何程序(包括SpyHunter)在您的计算机上执行。请按照说明下载SpyHunter并访问网络:
  • 使用备用浏览器。恶意软件可能会禁用您的浏览器。例如,如果您正在使用IE,并且在下载SpyHunter时遇到问题,您可以使用Firefox、Chrome或Safari浏览器。
  • 使用可移动媒体。在另一台计算机上下载SpyHunter,将其刻录到USB闪存驱动器、DVD/CD或任何常用的可移动媒体,然后将其安装在受感染的计算机上并运行SpyHunter的恶意软件扫描程序。
  • 以安全模式启动Windows。如果您无法访问Windows桌面,请在“带网络连接的安全模式”下重启您的计算机并在安全模式下安装SpyHunter
  • IE用户:禁用Internet Explorer的代理服务器以使用Internet Explorer浏览网页,或更新您的反间谍软件程序。恶意软件会修改您的Windows设置以使用代理服务器来阻止您使用IE浏览网页。
如果您仍然无法安装SpyHunter? 查看安装问题的其他可能原因。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。