STOP勒索軟件

STOP勒索軟件 介紹

PC安全研究人員於2018年2月21日收到有關涉及勒索軟件STOP勒索軟件的威脅的勒索軟件攻擊的報告。STOP Ransomware基於開源勒索軟件平台,並執行加密勒索軟件攻擊的典型版本。 STOP勒索軟件是使用包含損壞的文件附件的垃圾郵件來分發的。這些文件附件採用帶有嵌入式宏腳本的DOCX文件的形式,這些腳本將STOP Ransomware下載並安裝到受害者的計算機上。學習如何識別網絡釣魚電子郵件並避免下載收到的任何未經請求的文件附件是避免這些攻擊的方法之一。

如何識別STOP勒索軟件感染

一旦將STOP Ransomware安裝到受害者的計算機上,STOP Ransomware就會在受害者的驅動器中搜索各種文件類型,通常會尋找用戶生成的文件,例如圖像,媒體文件和許多其他文檔類型。 STOP Ransomware似乎也針對目標Web服務器而設計,因為它查找通常包含在這些計算機中的數據庫文件和類似文件類型。 STOP勒索軟件將搜索並針對其攻擊的文件類型包括:

.3dm,.3g2,.3gp,.7zip,.aaf,.accdb,.aep,.aepx,.aet,.ai,.aif,.as,.as3,.asf,.asp,.asx,.avi ,.bmp,.c,.class,.cpp,.cs,.csv,.dat,.db,.dbf,.doc,.docb,.docm,.docx,.dot,.dotm,.dotx 、. dwg,.dxf,.efx,.eps,.fla,.flv,.gif,.h,.idml,.iff,.indb,.indd,.indl,.indt,.inx,.jar,.java, .jpeg,.jpg,.js,.m3u,.m3u8,.m4u,.max,.mdb,.mid,.mkv,.mov,.mp3,.mp4,.mpa,.mpeg,.mpg,.msg ,.pdb,.pdf,.php,.plb,.pmd,.png,.pot,.potm,.potx,.ppam,.ppj,.pps,.ppsm,.ppsx,.ppt,.pptm 、. pptx,.prel,.prproj,.ps,.psd,.py,.ra,.rar,.raw,.rb,.rtf,.sdf,.sdf,.ses,.sldm,.sldx,.sql, .svg,.swf,.tif,.txt,.vcf,.vob,.wav,.wma,.wmv,.wpd,.wps,.xla,.xlam,.xll,.xlm,.xls,.xlsb ,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xml,.xqx,.xqx,.zip。

STOP勒索軟件使用一種強大的加密算法來使每個受害者的文件都無法訪問。 STOP勒索軟件攻擊將在其加密的文件中添加文件擴展名“ .SUSPENDED”,以標記受影響的文件。

STOP勒索軟件的勒索筆記

STOP勒索軟件通過向受害者的計算機提供贖金通知書要求贖金。該贖金記錄以文本文件的形式顯示在受害者桌面上。該文件名為'!!! YourDataRestore !!!。txt”,包含以下消息:

'您的所有重要文件均已在此PC上加密。
所有擴展名為.STOP的文件均已加密
. 加密是使用為此計算機生成的唯一私鑰RSA-1024生成的。
要解密文件,您需要獲取私鑰+解密軟件。
要檢索私鑰和解密軟件,您需要通過電子郵件與我們聯繫stopfilesrestore@bitmessage.ch向我們發送電子郵件,您的!!! YourDataRestore !!!。txt文件,並等待進一步的說明。
為確保您可以解密我們的文件,您可以向我們發送1-3加密程度不高的文件,並以原始格式免費將其退還給我們。
如果您在72個小時內與我們聯繫,解密價格為600美元。
您的個人編號:
[隨機字符]
與我們聯繫的電子郵件地址:
stopfilesrestoret@bitmessage.ch
保留電子郵件地址與我們聯繫:
stopfilesrestore@india.com'

STOP勒索軟件的負責人要求在72小時內使用比特幣向特定的比特幣錢包地址支付600美元的贖金。但是,聯繫這些人或支付STOP Ransomware贖金可能不是最佳解決方案。

保護數據免受STOP勒索軟件和其他勒索軟件木馬的侵害

防範STOP勒索軟件和其他勒索軟件木馬的最佳保護是擁有文件備份。擁有文件備份副本的計算機用戶可以在遭受攻擊後輕鬆恢復這些文件,而不必訴諸贖金。推薦的安全程序還可以防止首先安裝STOP勒索軟件。

更新2018年12月6日—'helpshadow@india.com'勒索軟件

“ helpshadow@india.com”勒索軟件被歸類為帶有STOP Ransomware品牌的代碼的較小更新。威脅作者似乎沒有足夠的時間來完善新變種,因為它的感染率很低。視音頻供應商迅速使用了“ helpshadow@india.com”勒索軟件,並且已經通過主要的社交平台和網絡安全報告發布了警報。不幸的是,還沒有免費解密的可能性。用戶通常會通過電子郵件收到的損壞的文檔而受到損害。已知該威脅會刪除Windows創建的Shadow Volume快照,並將“ .shadow”擴展名附加到加密對像上。例如,“ C12-H22-O11.pptx”重命名為“ C12-H22-O11.pptx.shadow”,並且在桌面上出現了名為“!readme.txt”的贖金字樣。 “ helpshadow@india.com”勒索軟件可能會向受感染的用戶顯示以下消息:

'您的所有文件都已加密
不用擔心,您可以返回所有文件!
您所有的文件文檔,照片,數據庫和其他重要文件均使用最強的加密和唯一密鑰進行加密。
恢復文件的唯一方法是為您購買解密工具和唯一密鑰。
該軟件將解密您所有的加密文件。
我們為您提供什麼保證?
您可以從PC發送加密文件之一,而我們將免費對其進行解密。
但是我們只能免費解密1個文件。文件中不得包含有價值的信息
不要嘗試使用第三方解密工具,因為它會破壞您的文件。
如果您在72小時內與我們聯繫,可享受50%的折扣。
要獲得此軟件,您需要在我們的電子郵件中寫信:
helpshadow@india.com
保留電子郵件地址與我們聯繫:
helpshadow@firemail.cc
您的個人ID:
[隨機字符]

上面顯示的文本供早於“ helpshadow@india.com”勒索軟件發布的變體使用,唯一值得注意的更改是新的電子郵件配置. “ helpshadow@india.com”勒索軟件以其中一個電子郵件聯繫人的名字命名,另一個以用戶名相同但在不同電子郵件平台上的用戶身份命名為“ helpshadow@firemail.cc”。在您收到本文時,這兩個電子郵件帳戶都可能被終止。考慮到勒索軟件運營商使用代理,VPN服務和TOR網絡來隱藏他們的控制設備,捕獲在helpshadow@india.com勒索軟件背後的人的機會並不大。因此,用戶需要主動保護自己的數據。第一個步驟-在系統上安裝備份程序;第二步-不要打開未知發件人的文件。請記住,將數據備份導出到可移動內存存儲或文件託管服務。

更新2018年12月13日—“ .djvu文件擴展名”勒索軟件

'.djvu文件擴展名'勒索軟件是STOP Ransomware的新變體,已於2018年12月12日發布。計算機安全研究人員將'.djvu文件擴展名'勒索軟件歸類為STOP Ransomware和之前版本的一個小更新。警告該威脅仍主要通過垃圾郵件來分發。威脅參與者一直在使用啟用宏的文檔和偽造的PDF來誘騙用戶靜默安裝程序。使用“ .djvu文件擴展名”勒索軟件進行的攻擊與2018年2月的第一波感染幾乎相同。該威脅會刪除Shadow Volume快照和連接到內存驅動器的映射,然後再加密用戶數據。新的變體支持不同的文件擴展名,贖金記錄略有更改。顧名思義,文件帶有“ .djvu”後綴,並且類似“ Jonne-Kaiho.mp3”的名稱被重命名為“ Jonne-Kaiho.mp3.djvu”。贖金記錄可以在桌面上顯示為“ _openme.txt”,並顯示為:

'您的所有文件都已加密
不用擔心,您可以返回所有文件!
您所有的文件文檔,照片,數據庫和其他重要文件均使用最強的加密和唯一密鑰進行加密。
恢復文件的唯一方法是為您購買解密工具和唯一密鑰。
該軟件將解密您所有的加密文件。
我們為您提供什麼保證?
您可以從PC發送加密文件之一,而我們將免費對其進行解密。
但是我們只能免費解密1個文件。文件中不得包含有價值的信息
不要嘗試使用第三方解密工具,因為它會破壞您的文件。
如果您在72小時內與我們聯繫,可享受50%的折扣。
要獲得此軟件,您需要在我們的電子郵件中寫信:
helpshadow@india.com

保留電子郵件地址與我們聯繫:
helpshadow@firemail.cc

您的個人ID:
[隨機字符]

威脅作者繼續使用“ helpshadow@india.com”和“ helpshadow@firemail.cc”電子郵件帳戶進行勒索軟件活動。不要相信STOP Ransomware團隊,請避免使用上述虛假的50%折扣。這裡討論的威脅參與者並不寬大處理。 PC用戶應使用可信任的反惡意軟件工具刪除“ .djvu文件擴展名”勒索軟件。最好使用備份映像和備份服務來恢復數據。

2019年1月11日更新—“ .tfude文件擴展名”勒索軟件

'.tfude File Extension'勒索軟件是STOP勒索軟件的版本,它於2019年1月11日發布。該威脅被歸類為與原始網絡威脅相比具有最少修改的版本。 “ .tfude文件擴展名”勒索軟件是以其損壞的代碼中唯一值得注意的更改命名的. 該木馬配置為將'.tfude'文件擴展名附加到加密數據。 “ .tfude文件擴展名”勒索軟件繼續使用標準加密技術和與Command服務器的安全連接,從而阻止安全專家為受到感染的用戶提供免費解密。

當前的加密威脅使用了政府機構和Google Inc.等公司用來保護數據傳輸安全的加密技術。加密的文件在Windows資源管理器中顯示為通用的白色圖標,並且用戶安裝的程序仍然可以運行。但是,由於威脅會編碼流行的數據庫格式,因此某些數據庫管理器可能無法正常工作。例如,“最近的sales.pdb”被重命名為“最近的sales.pdb.tfude”。勒索便箋從文件“ _openme.txt”加載到記事本中,該文件可以在桌面上找到。 “ .tfude File Extension”勒索軟件提供與原始木馬相同的消息,但這次威脅行動者正在使用“ pdfhelp@firemail.cc”電子郵件帳戶與用戶聯繫。用戶沒有免費的解密器,您將需要使用數據備份進行恢復。您將需要使用信譽良好的反惡意軟件儀器運行完整的系統掃描,以清理受感染的設備。

2019年1月23日更新—'pausa@bitmessage.ch'勒索軟件

“ pausa@bitmessage.ch”勒索軟件是由STOP勒索軟件生成器生成的文件編碼器惡意軟件。 “ pausa@bitmessage.ch”勒索軟件已於2018年5月的第一周通過垃圾郵件發布給PC用戶。快照阻礙恢復。眾所周知,“ pausa@bitmessage.ch”勒索軟件使用與其他成功的勒索軟件(例如Cerber和Dharma)相同的加密技術。 “ pausa@bitmessage.ch”勒索軟件經過編程,可從AppData目錄下的Temp文件夾運行,並將安全的AES-256密碼應用於文檔,視頻,音樂,數據庫和電子書。編碼後的數據以“ .PAUSA”為擴展名,類似“ Hartmann-Save me.mp3”的名稱已重命名為“ Hartmann-Save me.mp3.pausa”。勒索通知將另存為“ !! RESTORE !!!。txt”到用戶桌面,並顯示為:

'您的所有重要文件均已在此PC上加密。
所有擴展名為.PAUSA的文件都是加密的。
加密是使用為此計算機生成的唯一私鑰RSA-1024生成的。
要解密文件,您需要獲取私鑰+解密軟件。
要檢索私鑰和解密軟件,您需要通過電子郵件與我們聯繫pausa@bitmessage.ch向我們發送您的!!! RESTORE !!!。txt文件給我們,以等待進一步的指示。
為確保您可以解密我們的文件,您可以向我們發送1-3個不是很大的加密文件,我們將以原始格式免費將其退還給您。
如果您在72個小時內與我們聯繫,解密價格為600美元。
您的個人編號:
[隨機字符]
與我們聯繫的電子郵件地址:
pausa@bitmessage.ch
保留電子郵件地址與我們聯繫:
pausa@india.com'

我們建議您避免通過“ pausa@bitmessage.ch”和“ pausa@india.com”電子郵件帳戶與威脅參與者進行談判。借助著名的反惡意軟件工具,引導數據備份和清理系統更加安全。即使您支付了600美元的荒唐贖金,也無法保證您將獲得解密器。鼓勵PC用戶每月至少進行兩次數據備份,並忽略可能導致安全性受損的垃圾郵件。. 視音頻公司支持“ pausa@bitmessage.ch”勒索軟件的檢測規則,但是在編寫本文時,沒有免費的解密器可用。

2019年1月23日更新—'waiting@bitmessage.ch'勒索軟件

“ waiting@bitmessage.ch”勒索軟件是一種基於STOP勒索軟件的加密木馬。受感染用戶於2018年4月18日報告了``waiting@bitmessage.ch''勒索軟件,它似乎已通過損壞的Microsoft Word文檔入侵了計算機。記錄了“ waiting@bitmessage.ch”勒索軟件,以對受感染計算機上的照片,音頻,視頻和文本進行加密。不幸的是,惡意軟件作者添加了一個命令,以刪除Windows為保護您的數據而創建的捲快照。該特洛伊木馬使用帶有'.WAITING'擴展名且無法使用系統上的軟件打開的文件覆蓋目標數據。例如,將“ Hartmann-Like a River.mp3”重命名為“ Hartmann-River River.mp3.waiting”,然後將勒索消息放到桌面上。 “ waiting@bitmessage.ch”勒索軟件將“ !!! INFO_RESTORE !!!。txt”寫入桌面,並顯示以下文本:

'您的所有重要文件均已在此PC上加密。
所有擴展名為.WAITING的文件都是加密的。
加密是使用為此計算機生成的唯一私鑰RSA-1024生成的。
要解密文件,您需要獲取私鑰+解密軟件。
要檢索私鑰和解密軟件,您需要通過電子郵件waiting@bitmessage.ch與我們聯繫。向我們發送您的!!! INFO_RESTORE !!!。txt文件,並等待進一步的說明。
為確保您可以解密我們的文件,您可以向我們發送1-3個不是很大的加密文件,我們將以原始格式免費將其退還給您。
如果您在72個小時內與我們聯繫,解密價格為600美元。
您的個人編號:
[隨機字符]
與我們聯繫的電子郵件地址:
等待@ bitmessage.ch
保留電子郵件地址與我們聯繫:
等待@ india.com'

該惡意軟件不會干擾第三方備份工具,因此您應該能夠啟動數據備份。建議避免通過“ waiting@bitmessage.ch”和“ waiting@india.com”電子郵件地址與威脅參與者進行互動。如果您希望保護數據備份免受網絡傳輸的網絡威脅和大多數Ransomware變種(如“ waiting@bitmessage.ch” Ransomware)的侵害,則可能對探索文件託管服務感興趣。

在2019年及以後停止勒索軟件

在2019年晚些時候,STOP勒索軟件仍在使用中,並且正在測試新的攻擊媒介。 STOP勒索軟件開始出現在包含其他形式惡意軟件(主要是廣告軟件)的捆綁軟件中,您可以在聲稱託管有遊戲和軟件的破解可執行文件的網站上找到這些捆綁軟件。這樣,許多勒索軟件的新受害者被證明是充滿希望的軟件盜版者,他們尋找的是討價還價者。

也有證據表明,STOP勒索軟件正在安裝密碼竊取木馬,這些木馬能夠抓取各種登錄憑據。

勒索軟件還擴展了它使用的加密文件擴展名的長長列表。通過STOP勒索軟件加密的文件現在具有.rumba和.tro擴展名。到目前為止,幾乎沒有其他變化-贖金記錄仍在名為“ _openme.txt”的文件中找到,但贖金總額增加到980美元,如果受害人在感染後的前72小時內付款,則贖金減少到490美元。

您是否擔心您的計算被STOP勒索軟件 &或其他威脅感染? 用SpyHunter掃描您的電腦

SpyHunter是一款功能強大的惡意軟件修復和保護工具,幫助用戶進行深入的計算機系統安全分析,檢測和清理如STOP勒索軟件的各種威脅,並提供一對一的技術支持服務。 下載SpyHunter的免費惡意軟件清除器
請註意:SpyHunter的掃描儀用於惡意軟件檢測。如果SpyHunter在您的PC上檢測到惡意軟件,則需要購買SpyHunter的惡意軟件清除工具以清除惡意軟件威脅。查看更多關於SpyHunter的信息。免費的清除器可以使您可以進行壹次性掃描,並在48小時等待時間內接受壹次修復和清除。免費的清除器,需遵循促銷詳細信息和特殊促銷條款。要了解我們的政策,還請查看我們的最終用戶許可協議隱私政策威脅評估標準。如果您不再希望在計算機上安裝SpyHunter,請參考這些步驟卸載SpyHunter

技術信息

文件系統詳情

STOP勒索軟件創建以下文件:
# 文件名 大小 MD5 檢測計數
1 %SYSTEMDRIVE%\Users\adrianw\AppData\Local\2dcb08cd-15e1-4506-a1b1-e64af7265f32\9243932834.exe\9243932834.exe 806,912 2748006164992d7d7fed09e303741ccd 13,606
2 %SYSTEMDRIVE%\users\rozuable\appdata\local\842481e9-0e30-4e0f-a35e-aaa128731c3d\qyalalahykreesm.exe\qyalalahykreesm.exe 758,272 005a129910d22567383a50a7a472b634 6,097
3 %SYSTEMDRIVE%\users\computer corner\appdata\local\8579a6e1-02eb-4944-88d5-f6e7209ffcb6\5097613126.exe\5097613126.exe 1,101,824 1c61c3d74ecf0e610ee709369e7edc8e 2,173
4 %SYSTEMDRIVE%\users\administrator\appdata\local\adffc977-0bcf-4763-9098-133b435173b0\2981442145.exe\2981442145.exe 452,608 15b95facd6a2a65bca5c9259883b40bc 2,036
5 %SYSTEMDRIVE%\users\manu\appdata\local\49ac50b2-2b1c-4f84-bf7b-22399e13962c\9795.tmp.exe\9795.tmp.exe 763,904 9a6397a71f400186cbe44be2bc980da8 2,017
6 C:\Users\Dimas\AppData\Local\Temp\C7.tmp.exe 490,496 8a9b5893c782edc3aac3bf220d088d8a 1,883
7 %SYSTEMDRIVE%\users\$oumen\appdata\local\0c4f31fb-281f-4e5d-a483-ed73cbe9f942\64ba.tmp.exe 685,056 17bfc5110583111d973742bee695974b 1,751
8 %SYSTEMDRIVE%\users\ryan brown\appdata\local\6c1cb14b-1f04-4ecc-9b6d-32678fba87a7\9686685955.exe\9686685955.exe 863,744 5c71f8c3bb000d163fc2e63c089b35a1 1,605
9 %SYSTEMDRIVE%\users\barbosa\appdata\local\71b3e0ae-3228-44e8-b2cf-712ea5b11b24\fddc.tmp.exe 719,872 7937b969e60f96fd1e66f932f39368eb 1,511
10 %SYSTEMDRIVE%\users\caio_\appdata\local\cd2b8049-d376-4bd2-bcfe-b44b0ce406c6\1202.tmp.exe\1202.tmp.exe 479,744 c46de9b5e3ffbf3e7e990d821a01c794 1,414
11 %SYSTEMDRIVE%\Users\sdtem\AppData\Roaming\brgrtv3f.exe\brgrtv3f.exe 735,744 dc2a5b9b07eb864629b82e912ac6737d 1,310
12 %SYSTEMDRIVE%\users\dudu\appdata\local\27bf239b-c85e-4263-a941-ac026a3730f3\ef56.tmp.exe\ef56.tmp.exe 504,320 6b87914c289c99ac38cd3898cbc3bf59 1,273
13 %SYSTEMDRIVE%\users\a\appdata\local\fe3bfd43-dfdf-4761-b807-d95539d11232\9cfd.tmp.exe 470,528 0ab52528540d9f4302576266ae51f669 1,113
14 %SYSTEMDRIVE%\Users\Nahed\AppData\Local\f353fe2b-6c24-4054-a771-3ec668210e70\6B93.tmp.exe\6B93.tmp.exe 471,552 7cb73de69bada90e61365bfbb3e7c748 1,108
15 %SYSTEMDRIVE%\users\govind\appdata\local\424e6b7f-e965-4b52-b456-be94f7d6637a\d5e2.tmp.exe 522,240 4c1b9a14dda6a74b7abff708758d98f6 1,027
16 %SYSTEMDRIVE%\users\england\appdata\local\a0172711-2750-45d2-9126-3dd4313b8e3f\be.tmp.exe\be.tmp.exe 506,880 924a6e8e95b84a7e472a555f97157dc7 1,012
17 %SYSTEMDRIVE%\users\a\appdata\local\9addee77-a502-4082-83e4-8777dbd03938\db22.tmp.exe 527,360 b329ac78b8967da7e6895c10a49199cc 975
18 %SYSTEMDRIVE%\Users\Dell\AppData\Local\c733d31f-7a78-49a8-8d19-4bbf8cb5e337\8DE7.tmp.exe\8DE7.tmp.exe 453,120 5c768548b5601cee4244be7a5884bbe7 595
19 %SYSTEMDRIVE%\users\marco\appdata\local\955c1bb7-dc5b-4ac7-9044-dad9906c8636\da42.tmp.exe 469,504 a5151af6804c67ea974c4d70c13e6bee 536
20 %SYSTEMDRIVE%\users\one piece\appdata\local\112d38a9-047b-4fab-8fa1-ee4b87957619\76ea.tmp.exe 572,928 7483afe53920181f720c1ee19e824126 486
21 %SYSTEMDRIVE%\users\lenovo\appdata\local\5d7c2825-7228-4630-ae86-4e1d3de0b193\a9.tmp.exe\a9.tmp.exe 411,648 8085102a2245be4463c478cd65412c50 328
22 %WINDIR%\System32\BB15.tmp.exe\BB15.tmp.exe 316,416 d05fa3c794d5e57af38399ebc64c876b 29
23 %SYSTEMDRIVE%\users\bdu\appdata\local\51f7495d-3c09-4597-8582-f09b1fd5debc\5dcc.tmp.exe 487,424 e3b973420daf30a4180f60337a2eaf90 14
24 ransomware.exe 444,928 fdc340769c3ca364f6cc7ca1be99762b 0
更多文件

註冊表詳情

STOP勒索軟件創建以下註冊表條目:
Directory
%ALLUSERSPROFILE%\tzjajmmqgl
%PROGRAMFILES%\3Dmarkproa
%PROGRAMFILES%\3DMarkproed
%PROGRAMFILES%\3DMarkproediot
%PROGRAMFILES%\3DMarkproedit
%PROGRAMFILES%\company\3dmarkssdf
%PROGRAMFILES%\company\64Product
%PROGRAMFILES%\Cry\Cryp
%PROGRAMFILES%\cryptoss
%PROGRAMFILES%\crys\cry
%PROGRAMFILES%\crysp\cryq
%PROGRAMFILES%\ferr\seda\sx\bin
%PROGRAMFILES%\hop
%PROGRAMFILES%\Hyps
%PROGRAMFILES%\Innovativ\ddd
%PROGRAMFILES%\innovative solutions\intervpn
%PROGRAMFILES%\laert
%PROGRAMFILES%\laerts
%PROGRAMFILES%\Laertseer
%PROGRAMFILES%\lass\inst
%PROGRAMFILES%\lawop
%PROGRAMFILES%\lawops
%PROGRAMFILES%\Marg\Cr
%PROGRAMFILES%\margin\marg
%PROGRAMFILES%\Mup\Cr
%PROGRAMFILES%\opur
%PROGRAMFILES%\Opute
%PROGRAMFILES%\Sir\Air
%PROGRAMFILES%\sir\xd
%PROGRAMFILES%\xery\sesd\sx\bin
%PROGRAMFILES%\youtubedown
%PROGRAMFILES(x86)%\3Dmarkproa
%PROGRAMFILES(x86)%\3DMarkproed
%PROGRAMFILES(x86)%\3DMarkproediot
%PROGRAMFILES(x86)%\3DMarkproedit
%PROGRAMFILES(x86)%\company\3dmarkssdf
%PROGRAMFILES(x86)%\company\64Product
%PROGRAMFILES(x86)%\Cry\Cryp
%PROGRAMFILES(x86)%\cryptoss
%PROGRAMFILES(x86)%\crys\cry
%PROGRAMFILES(x86)%\crysp\cryq
%PROGRAMFILES(x86)%\ferr\seda\sx\bin
%PROGRAMFILES(x86)%\hop
%PROGRAMFILES(x86)%\Hyps
%PROGRAMFILES(x86)%\Innovativ\ddd
%PROGRAMFILES(x86)%\innovative solutions\intervpn
%PROGRAMFILES(x86)%\laert
%PROGRAMFILES(x86)%\laerts
%PROGRAMFILES(x86)%\Laertseer
%PROGRAMFILES(x86)%\lass\inst
%PROGRAMFILES(x86)%\lawop
%PROGRAMFILES(x86)%\lawops
%PROGRAMFILES(x86)%\Marg\Cr
%PROGRAMFILES(x86)%\margin\marg
%PROGRAMFILES(x86)%\Mup\Cr
%PROGRAMFILES(x86)%\opur
%PROGRAMFILES(x86)%\Opute
%PROGRAMFILES(x86)%\Sir\Air
%PROGRAMFILES(x86)%\sir\xd
%PROGRAMFILES(x86)%\xery\sesd\sx\bin
%PROGRAMFILES(x86)%\youtubedown
Regexp file mask
%programfiles%\fina\dowloadx.exe
%programfiles%\jack\setup.exe
%programfiles%\jack\setx.exe
%programfiles%\love\setup.exe
%programfiles%\new year\setx.exe
%programfiles(x86)%\fina\dowloadx.exe
%programfiles(x86)%\jack\setup.exe
%programfiles(x86)%\jack\setx.exe
%programfiles(x86)%\love\setup.exe
%programfiles(x86)%\new year\setx.exe
File name without path
34fedwfe.exe
3fwedfe.exe
45rfedwwed.exe
45trgvdcregt.exe
4gtrecwr3t4g.exe
4rfeerwd.exe
54grfecr4bv.exe
5t4fr3dex.exe
5ygt4rfcd.exe
745rgfed.exe
brgrtv3f.exe
ewfwe2.exe
ewrewexcf.exe
gtreefcd.exe
r44r3red.exe
rewrtrbvfd.exe
rfhi3f.exe
t4rtecf3rfe.exe
tbvgrfced.exe
tgrfet4tgrf.exe
trvecwx.exe
ybtvgrfcd.exe
yntbrvecd.exe

網站免責聲明

Enigmasoftware.com與本文中提到的惡意軟件創建者或分銷商沒有任何關聯、贊助或附屬關系。本文不應被理解為與惡意軟件的宣傳或認可。我們的目的是提供信息,讓用戶根據本文中的Spyhunter手動清理說明來檢測並清理計算機上的惡意軟件。

本文“按原樣”提供,僅用於教育信息目的。通過遵循本文的任何說明,即表示您同意受免責聲明的約束。 我們不保證本文將幫助您徹底刪除PC上的惡意軟件威脅。 間諜軟件定期更改; 因此,很難通過手動方式完全清潔受感染的機器。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。