Threat Database Ransomware '.guesswho文件扩展名'勒索软件

'.guesswho文件扩展名'勒索软件

" .guesswho文件扩展"勒索软件是文件编码器特洛伊木马,于2019年4月24日被检测到。它感染了Windows操作系统的所有版本。当用户打开通过电子邮件收到的有害Microsoft Word文档时,"。guesswho File Extension"勒索软件木马似乎已登陆计算机,但它也可以通过恶意链接,torrent文件,色情网站,p2p文件共享,破解软件以及许多其他工具来安装。方法。这种勒索软件的行为类似于常规的加密恶意软件,并且具有较小的规模,这使得计算机安全专家很难将其链接到已知的勒索软件系列。 2018年和2019年的大多数勒索软件样本都是由勒索软件制造商制作的,很难区分它们。此外,一个威胁参与者可以使用多个勒索软件生成器。

但是,最新研究表明,"。guesswho文件扩展"勒索软件可以链接到Rapid Ransomware系列,该家族众所周知使用AES和RSA加密算法,并将以下扩展名附加到加密文件中:"。mouse","。no_more_ransom" ","。nano","。guesswho","。ezymn","。GILLETTE"和" .rpd。[5个随机字符]"。这些勒索软件变种的受害者位于伊朗,美国,马来西亚,德国,日本,韩国,印度尼西亚,西班牙和其他国家。这个恶意软件系列要求以比特币的形式支付赎金,其中一个被检查的样本要求以等值的3,000美元来换取解密密钥。这种特殊的威胁还给在文件加密后72小时内付款的用户提供了50%的折扣。

” .Guesswho文件扩展名”勒索笔记将其链接到另一个恶意软件家族

众所周知,"。guesswho文件扩展名"勒索软件会在锁定文件后附加" .guesswho"扩展名,并向用户显示名为" How Recovery Files.txt"的勒索信息,内容为:

'你好,亲爱的朋友!
您的所有文件均已加密
您真的要还原文件吗?
写信至我们的电子邮件– Rapidka@cock.li或notnepo@cock.lu
并告诉我们您的唯一ID-ID- [8个随机字符]'

将上面显示的消息与已知威胁进行比较只会导致更多问题,并将恶意软件链接到其他类似威胁。 " .guesswho文件扩展名"勒索软件生成的通知与RPD 勒索软件PainLocker勒索软件生成的通知相同。最后两个勒索软件威胁属于不同的恶意软件家族-Everbe RansomwareRapid Ransomware 。因此,对" .guesswho文件扩展名"勒索软件进行分类非常麻烦。受影响的用户无法访问Internet上的照片,下载的图像,MP3,MP4以及磁盘上的文档。

尚未对" .guesswho文件扩展名"所采用的确切加密方法进行充分研究,但是,众所周知,勒索软件为每个受害者创建了一个单独的解密密钥,如果没有此密钥,则绝对不可能恢复损坏的文件。. 像大多数其他勒索软件威胁一样,此文件也删除了锁定文件的所有卷影副本,以防止它们被恢复,而受害者无法访问该密钥,因为该密钥保存在受威胁者控制的服务器上。

” .Guesswho文件扩展名”勒索软件具有更危险的功能

除了文件加密模块外,"。guesswho File Extension"勒索软件还充当浏览器劫持者和数据窃取者。它以静默方式将自己的恶意插件,附加组件和其他危险代码安装到受害者的浏览器中,从而修改浏览器设置并设置到第三方网站的重定向,这些第三方网站的主要目的是促进赞助链接和产品并增强人工网络流量。此外,"。guesswho文件扩展"勒索软件可以在受感染的系统上打开后门,从而可以远程访问潜在的攻击者。这种威胁的另一个隐藏功能是窃取敏感的用户数据,这些数据以后可能会被骗子滥用。总体而言,"。guesswho文件扩展名"勒索软件消耗了受影响设备的性能,因为它消耗了系统资源并使重要文件无法访问。

不建议手动删除

我们不建议您尝试手动删除此勒索软件,特别是如果您是没有经验的用户。 " .guesswho文件扩展名" Ransomware将其恶意脚本和文件安装在整个操作系统的不同位置,因此手动删除可能非常复杂且耗时。勒索软件在Windows注册表中创建自己的条目,可以在任务管理器中观察到其恶意进程,并且还可以在PC上安装的程序列表中检测到与该恶意软件相关的某些程序。属于" .guesswho文件扩展"勒索软件的某些注册表项是:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ msseces.exe" Debugger" ='svchost.exe'
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet设置" WarnOnHTTPSToHTTPRedirect" ='0'
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \'。guesswho File Extension'Ransomware
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image文件执行选项\ msascui.exe"调试器" ='.guesswho文件扩展名'Ransomware
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet设置" WarnOnHTTPSToHTTPRedirect" ='0'
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SystemRestore" DisableSR" ='1'
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \运行" xas"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ ekrn.exe" Debugger" ='.guesswho File Extension'勒索
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" 3948550101"
  • HKEY_CURRENT_USER \ Software \'。guesswho File Extension'Ransomware

我们也不建议通过" rapidka@cock.li"," notnepo@cock.lu"或恶意软件参与者提供的任何其他电子邮件地址与攻击者联系。. 来自2019年8月的数据显示,"。guesswho文件扩展名"勒索软件的运营商已使用一些新的电子邮件地址与受害者进行通信,例如grupposupp @ airmail.cc,grupposupp @ protonmail.ch,directreserve @ airmail.cc和邮件@ rapid2019.com。

向" .guesswho文件扩展名"勒索软件团队付款可能不够用,并且您可能仍然丢失数据。还原数据时,您应尝试使用备份工具和云服务。使用可靠的恶意软件删除工具清理受感染的设备。

趋势

最受关注

正在加载...