'.guesswho文件擴展名'勒索軟件
" .guesswho文件擴展"勒索軟件是文件編碼器特洛伊木馬,於2019年4月24日被檢測到。它感染了Windows操作系統的所有版本。當用戶打開通過電子郵件收到的有害Microsoft Word文檔時,"。guesswho File Extension"勒索軟件木馬似乎已登陸計算機,但它也可以通過惡意鏈接,torrent文件,色情網站,p2p文件共享,破解軟件以及許多其他工具來安裝。方法。這種勒索軟件的行為類似於常規的加密惡意軟件,並且具有較小的規模,這使得計算機安全專家很難將其鏈接到已知的勒索軟件系列。 2018年和2019年的大多數勒索軟件樣本都是由勒索軟件製造商製作的,很難區分它們。此外,一個威脅參與者可以使用多個勒索軟件生成器。
但是,最新研究表明,"。guesswho文件擴展"勒索軟件可以鏈接到Rapid Ransomware系列,該家族眾所周知使用AES和RSA加密算法,並將以下擴展名附加到加密文件中:"。mouse","。no_more_ransom" ","。nano","。guesswho","。ezymn","。GILLETTE"和" .rpd。[5個隨機字符]"。這些勒索軟件變種的受害者位於伊朗,美國,馬來西亞,德國,日本,韓國,印度尼西亞,西班牙和其他國家。這個惡意軟件系列要求以比特幣的形式支付贖金,其中一個被檢查的樣本要求以等值的3,000美元來換取解密密鑰。這種特殊的威脅還給在文件加密後72小時內付款的用戶提供了50%的折扣。
目錄
” .Guesswho文件擴展名”勒索筆記將其鏈接到另一個惡意軟件家族
眾所周知,"。guesswho文件擴展名"勒索軟件會在鎖定文件後附加" .guesswho"擴展名,並向用戶顯示名為" How Recovery Files.txt"的勒索信息,內容為:
'你好,親愛的朋友!
您的所有文件均已加密
您真的要還原文件嗎?
寫信至我們的電子郵件– Rapidka@cock.li或notnepo@cock.lu
並告訴我們您的唯一ID-ID- [8個隨機字符]'
將上面顯示的消息與已知威脅進行比較只會導致更多問題,並將惡意軟件鏈接到其他類似威脅。 " .guesswho文件擴展名"勒索軟件生成的通知與RPD 勒索軟件和PainLocker勒索軟件生成的通知相同。最後兩個勒索軟件威脅屬於不同的惡意軟件家族-Everbe Ransomware和Rapid Ransomware 。因此,對" .guesswho文件擴展名"勒索軟件進行分類非常麻煩。受影響的用戶無法訪問Internet上的照片,下載的圖像,MP3,MP4以及磁盤上的文檔。
尚未對" .guesswho文件擴展名"所採用的確切加密方法進行充分研究,但是,眾所周知,勒索軟件為每個受害者創建了一個單獨的解密密鑰,如果沒有此密鑰,則絕對不可能恢復損壞的文件。. 與大多數其他勒索軟件威脅一樣,此文件也刪除了鎖定文件的所有捲影副本,以防止它們被恢復,而受害者無法訪問該密鑰,因為該密鑰保存在受威脅者控制的服務器上。
” .Guesswho文件擴展名”勒索軟件具有更危險的功能
除了文件加密模塊外,"。guesswho File Extension"勒索軟件還充當瀏覽器劫持者和數據竊取者。它以靜默方式將自己的惡意插件,附加組件和其他危險代碼安裝到受害者的瀏覽器中,從而修改瀏覽器設置並設置重定向到第三方網站的重定向,這些第三方網站的主要目的是促進贊助鏈接和產品並增強人工網絡流量。此外,"。guesswho文件擴展"勒索軟件可以在受感染的系統上打開後門,從而可以遠程訪問潛在的攻擊者。這種威脅的另一個隱藏功能是竊取敏感的用戶數據,這些數據以後可能會被騙子濫用。總體而言,"。guesswho文件擴展名"勒索軟件消耗了受影響設備的性能,因為它消耗了系統資源並使重要文件無法訪問。
不建議手動刪除
我們不建議您嘗試手動刪除此勒索軟件,特別是如果您是沒有經驗的用戶。 " .guesswho文件擴展名" Ransomware將其惡意腳本和文件安裝在整個操作系統的不同位置,因此手動刪除可能非常複雜且耗時。勒索軟件在Windows註冊表中創建自己的條目,可以在任務管理器中觀察到其惡意進程,並且還可以在PC上安裝的程序列表中檢測到與該惡意軟件相關的某些程序。屬於" .guesswho文件擴展"勒索軟件的某些註冊表項是:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image文件執行選項\ msseces.exe" Debugger" ='svchost.exe'
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet設置" WarnOnHTTPSToHTTPRedirect" ='0'
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \'。guesswho File Extension'Ransomware
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image文件執行選項\ msascui.exe" Debugger" ='.guesswho File Extension'勒索
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet設置" WarnOnHTTPSToHTTPRedirect" ='0'
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SystemRestore" DisableSR" ='1'
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \運行" xas"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ ekrn.exe" Debugger" ='.guesswho File Extension'勒索
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" 3948550101"
- HKEY_CURRENT_USER \ Software \'。guesswho File Extension'Ransomware
我們也不建議通過" rapidka@cock.li"," notnepo@cock.lu"或惡意軟件參與者提供的任何其他電子郵件地址與攻擊者聯繫。. 來自2019年8月的數據顯示,"。guesswho文件擴展名"勒索軟件的運營商已使用一些新的電子郵件地址與受害者進行通信,例如grupposupp @ airmail.cc,grupposupp @ protonmail.ch,directreserve @ airmail.cc和郵件@ rapid2019.com。
向" .guesswho文件擴展名"勒索軟件團隊付款可能不夠用,並且您可能仍然丟失數據。還原數據時,您應嘗試使用備份工具和雲服務。使用可靠的惡意軟件刪除工具清理受感染的設備。
