JSWorm勒索軟件

JSWorm Ransomware是一種加密勒索軟件木馬。 JSWorm勒索軟件似乎與旨在模仿更廣為人知的威脅的GlobeImposter和其他勒索軟件木馬有關。 JSWorm勒索軟件最初於2019年1月24日被觀察到，似乎正在執行加密勒索軟件Trojan攻擊，這是這些威脅的典型特徵。

JSWorm Ransomware木馬如何進入計算機

JSWorm Ransomware似乎是通過損壞的Microsoft Office文檔傳遞給受害者的，該文檔通常包含嵌入式宏腳本，這些腳本將JSWorm Ransomware下載並安裝到受害者的計算機上。一旦安裝了JSWorm Ransomware，它將掃描受害人的計算機以查找用戶生成的文件，並使用AES加密對其進行加密，以使它們不可訪問，從而實質上將加密文件當作人質。以下是JSWorm Ransomware在這些攻擊中針對的文件示例：

.jpg，.jpeg，.raw，.tif，.gif，.png，.bmp，.3dm，.max，.accdb，.db，.dbf，.mdb，.pdb，.sql，.dwg，.dxf ，.cpp，.cs，.h，.php，.asp，.rb，.java，.jar，.class，.py，.js，.aaf，.aep，.aepx，.plb，.prel 、. prproj，.aet，.ppj，.psd，.indd，.indl，.indt，.indb，.inx，.idml，.pmd，.xqx，.xqx，.ai，.eps，.ps，.svg， .swf，.fla，.as3，.as，.txt，.doc，.dot，.docx，.docm，.dotx，.dotm，.docb，.rtf，.wpd，.wps，.msg，.pdf ，.xls，.xlt，.xlm，.xlsx，.xlsm，.xltx，.xltm，.xlsb，.xla，.xlam，.xll，.xlw，.ppt，.pot，.pps，.pptx 、. pptm，.potx，.potm，.ppam，.ppsx，.ppsm，.sldx，.sldm，.wav，.mp3，.aif，.iff，.m3u，.m4u，.mid，.mpa，.wma， .ra，.avi，.mov，.mp4，.3gp，.mpeg，.3g2，.asf，.asx，.flv，.mpg，.wmv，.vob，.m3u8，.dat，.csv，.efx ，.sdf，.vcf，.xml，.ses，.qbw，.qbb，.qbm，.qbi，.qbr，.cnt，.des，.v30，.qbo，.ini，.lgb，.qwc 、. qbp，.aif，.qba，.tlg，.qbx，.qby，.1pa，.qpd，.txt，.set，.iif，.nd，.rtp，.tlg，.wav，.qsm，.qss， .qst，.fx0，.fx1，.mx0，.fpx，.fxr，.fim，.ptb，.ai，.pfb，.cgn，.vsd 、. cdr，.cmx，.cpt，.csl，.cur，.des，.dsf，.ds4，.drw，.eps，.ps，.prn，.gif，.pcd，.pct，.pcx，.plt ，.rif，.svg，.swf，.tga，.tiff，.psp，.ttf，.wpd，.wpg，.wi，.raw，.wmf，.txt，.cal，.cpx，.shw 、. clk，.cdx，.cdt，.fpx，.fmv，.img，.gem，.xcf，.pic，.mac，.met，.pp4，.pp5，.ppf，.nap，.pat，.ps， .prn，.sct，.vsd，.wk3，.wk4，.xpm，.zip，.rar

JSWorm Ransomware攻擊將損壞的文件標記為文件擴展名“ .JSWORM”到受影響的文件的名稱。 JSWorm Ransomware也將目標文件鎖定到連接到受感染計算機的外部存儲設備上。 JSWorm勒索軟件對受害者的數據進行加密後，將要求勒索贖金以恢復受影響的文件。 JSWorm勒索軟件在一條文本消息中提供其贖金要求，內容如下：

'您的所有文件均已鎖定！
您的PID：[隨機字符]
您的個人電子郵件：NIGER1253@COCK.LI
現在怎麼辦？
給我們發電子郵件
在郵件標題上輸入您的ID，在郵件正文上輸入國家/地區，然後等待答案。
您必須支付一些比特幣才能解鎖文件！
不要嘗試解密您的文件！
如果您嘗試解鎖文件。您可能無法訪問它們！
記得！
除了我們，沒有人能保證您100％解鎖！
如何購買比特幣

指示計算機用戶忽略JSWorm Ransomware贖金記錄，並避免支付任何贖金。

處理JSWorm勒索軟件

不幸的是，一旦JSWorm Ransomware對目標文件進行加密，它們將無法恢復。這就是為什麼必須採取預防措施來限制由JSWorm Ransomware這樣的加密勒索軟件木馬造成的損害。最好的預防措施是擁有數據的備份副本，並將其存儲在脫機位置，例如外部存儲設備或未同步的雲服務。如果有可用的備份，則計算機用戶可以通過簡單地使用安全程序刪除JSWorm Ransomware感染，然後通過從備份副本中復制來還原任何受到破壞的數據，從而從JSWorm Ransomware等攻擊中恢復。

更新於2019年5月24日-JSWorm 2.0 Ransomware

自從2019年1月發現木馬以來，JSWorm Ransomware的開發人員一直在對其木馬進行更新。第一次更新是在2019年4月，名為JSWorm 2.0 Ransomware，未包含任何新功能。但是，在2019年5月，他們決定保留相同的名稱JSWorm 2.0 Ransomware，但將添加到損壞文件中的文件擴展名更改為“ [ID-XXXXXXXXX] [remarkpaul77@cock.li] .JSWORM”和贖金記錄獲得了新格式.text並命名為JSWORM-DECRYPT.txt。

系統文件不在JSWorm 2.0 Ransomware加密的文件之中。但是，JSWorm 2.0 Ransomware可以引入其他威脅應用程序，並更改受感染計算機註冊表的值。

但是，有個好消息。安全研究人員可以破壞JSWorm 2.0勒索軟件代碼，並發布解密器，受害者可以免費使用該解密器恢復丟失的數據。