JSWorm勒索软件

JSWorm Ransomware是一种加密勒索软件木马。 JSWorm勒索软件似乎与旨在模仿更广为人知的威胁的GlobeImposter和其他勒索软件木马有关。 JSWorm勒索软件最初于2019年1月24日被观察到，似乎正在执行加密勒索软件Trojan攻击，这是这些威胁的典型特征。

JSWorm Ransomware木马如何进入计算机

JSWorm Ransomware似乎是通过损坏的Microsoft Office文档传递给受害者的，该文档通常包含嵌入式宏脚本，这些脚本将JSWorm Ransomware下载并安装到受害者的计算机上。一旦安装了JSWorm Ransomware，它就会扫描受害者的计算机以查找用户生成的文件，并使用AES加密对其进行加密，以使它们不可访问，从而实质上将加密文件当作人质。以下是JSWorm Ransomware在这些攻击中针对的文件示例：

.jpg，.jpeg，.raw，.tif，.gif，.png，.bmp，.3dm，.max，.accdb，.db，.dbf，.mdb，.pdb，.sql，.dwg，.dxf ，.cpp，.cs，.h，.php，.asp，.rb，.java，.jar，.class，.py，.js，.aaf，.aep，.aepx，.plb，.prel 、. prproj，.aet，.ppj，.psd，.indd，.indl，.indt，.indb，.inx，.idml，.pmd，.xqx，.xqx，.ai，.eps，.ps，.svg， .swf，.fla，.as3，.as，.txt，.doc，.dot，.docx，.docm，.dotx，.dotm，.docb，.rtf，.wpd，.wps，.msg，.pdf ，.xls，.xlt，.xlm，.xlsx，.xlsm，.xltx，.xltm，.xlsb，.xla，.xlam，.xll，.xlw，.ppt，.pot，.pps，.pptx 、. pptm，.potx，.potm，.ppam，.ppsx，.ppsm，.sldx，.sldm，.wav，.mp3，.aif，.iff，.m3u，.m4u，.mid，.mpa，.wma， .ra，.avi，.mov，.mp4，.3gp，.mpeg，.3g2，.asf，.asx，.flv，.mpg，.wmv，.vob，.m3u8，.dat，.csv，.efx ，.sdf，.vcf，.xml，.ses，.qbw，.qbb，.qbm，.qbi，.qbr，.cnt，.des，.v30，.qbo，.ini，.lgb，.qwc 、. qbp，.aif，.qba，.tlg，.qbx，.qby，.1pa，.qpd，.txt，.set，.iif，.nd，.rtp，.tlg，.wav，.qsm，.qss， .qst，.fx0，.fx1，.mx0，.fpx，.fxr，.fim，.ptb，.ai，.pfb，.cgn，.vsd 、. cdr，.cmx，.cpt，.csl，.cur，.des，.dsf，.ds4，.drw，.eps，.ps，.prn，.gif，.pcd，.pct，.pcx，.plt ，.rif，.svg，.swf，.tga，.tiff，.psp，.ttf，.wpd，.wpg，.wi，.raw，.wmf，.txt，.cal，.cpx，.shw 、. clk，.cdx，.cdt，.fpx，.fmv，.img，.gem，.xcf，.pic，.mac，.met，.pp4，.pp5，.ppf，.nap，.pat，.ps， .prn，.sct，.vsd，.wk3，.wk4，.xpm，.zip，.rar

JSWorm Ransomware攻击将损坏的文件标记为文件扩展名“ .JSWORM”到受影响的文件的名称。 JSWorm Ransomware也将目标文件锁定到连接到受感染计算机的外部存储设备上。 JSWorm勒索软件对受害者的数据进行加密后，将要求勒索赎金以恢复受影响的文件。 JSWorm勒索软件在一条文本消息中提供其赎金要求，内容如下：

'您的所有文件均已锁定！
您的PID：[随机字符]
您的个人电子邮件：NIGER1253@COCK.LI
现在怎么办？
给我们发电子邮件
在邮件标题上输入您的ID，在邮件正文上输入国家/地区，然后等待答案。
您必须支付一些比特币才能解锁文件！
不要尝试解密您的文件！
如果您尝试解锁文件。您可能无法访问它们！
记得！
除了我们，没有人能保证您100％解锁！
如何购买比特币

指示计算机用户忽略JSWorm Ransomware赎金记录，并避免支付任何赎金。

处理JSWorm勒索软件

不幸的是，一旦JSWorm Ransomware对目标文件进行加密，它们将无法恢复。这就是为什么必须采取预防措施来限制由JSWorm Ransomware这样的加密勒索软件木马造成的损害。最好的预防措施是拥有数据的备份副本，并将其存储在脱机位置，例如外部存储设备或未同步的云服务。如果有可用的备份，则计算机用户可以通过简单地使用安全程序删除JSWorm Ransomware感染，然后通过从备份副本中复制来还原任何受到破坏的数据，从而从JSWorm Ransomware等攻击中恢复。

2019年5月24日更新-JSWorm 2.0 Ransomware

自从2019年1月发现木马以来，JSWorm Ransomware的开发人员一直在对其木马进行更新。第一次更新是在2019年4月，名为JSWorm 2.0 Ransomware，未包含任何新功能。但是，在2019年5月，他们决定保留相同的名称JSWorm 2.0 Ransomware，但将添加到损坏文件中的文件扩展名更改为“ [ID-XXXXXXXXX] [remarkpaul77@cock.li] .JSWORM”和赎金记录获得了新格式.text并命名为JSWORM-DECRYPT.txt。

系统文件不在JSWorm 2.0 Ransomware加密的文件之中。但是，JSWorm 2.0 Ransomware可以引入其他威胁应用程序，并更改受感染计算机注册表的值。

但是，有个好消息。安全研究人员可以破坏JSWorm 2.0勒索软件代码，并发布解密器，受害者可以免费使用该解密器恢复丢失的数据。