严重程度量表:  
  (97/100)

Erebus 勒索病毒. 如何移除? (卸载指南)

朱莉·史匹灵特斯 评价 - - | 类型:勒索软件
12

Erebus Linux 勒索软件锁定伺服器为目标

Erebus ransomware virus

Erebus 勒索软件是一个恶意的程序,目的是侵入 Linux 系统,尤其是伺服器。就像其他的勒索软件 一样,其主要目的是尽可能损坏越多的机器,然后要求一份巨大的赎金。这个勒索软件的最初版本使用了 RSA-2048 加密法、在被加密的文件名字添加 .ecrypt 文件扩展名字,并留下两份勒索字条: YOUR_FILES_HAS_BEEN_ENCRYPTED.txt” 和 YOUR_FILES_HAS_BEEN_ENCRYPTED.html。这个病毒之前在南韩使用了被骇入的网站作为其“指令和控制” (Command and Control, C&C) 伺服器,这个版本有能力加密超过 423 不同的文件类型。

此勒索软件的后续版本已经可以绕过“用户帐户控制” (User Account Control, UAC) 功能,以更高的权限自我启动。该病毒表示,如果受害者无法达到它的要求,没有在 96 个小时内支付 0.085 比特币,储存在计算机上的文件将被删除。最新的版本会删除卷影副本,以防止被加密的文件免费被复原。虽然把个人文件储存在外部储存器可以在勒索软件攻击的情况下,帮你挽救一些文件,但大部分的计算机用户并不觉得有需要这么做。因此,他们不得不对丢失文件感到后悔,并拼命寻求数据复原方法。无论你是 Windows、Mac 或 Linux 用户,你都必须采取预防措施以对抗恶意攻击。我们建议使用如 ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus 来移除勒索软件。欲移除 Erebus,你必须使用与 Linux 兼容的软件。

2017 年 2 月更新:Erebus 病毒改进,要求了较低的赎金。

网络安全专家在二月发现到 Erebus 病毒的新版本,它使用了 AES 加密法 来加密目标文件,并使用 ROT-23 密码来修改文件扩展名字,然后它在桌面上储存 README.html 文件,此里面含有如何复原文件的指示。与这种类型的病毒一样,Erebus 催促受害者在 96 个小时内支付赎金。黑客们喜欢使用一次性的电邮地址来联系受害者。然而,关于网络犯罪份子是否有回应受害者及传输文件,这些信息太少了 。如果你已经陷入这个勒索软件的陷阱,请专注于 Erebus 移除。

目前这个版本会绕过“用户帐户控制” 窗口,或者换句话说,禁用了在安装新程序时启动对话框的功能。同样的,Erebus 加密恶意软件也剥夺了受害者手动停止感染的权利。此外,这个病毒修改了注册表项以加速其功能。这个勒索软件会启动 eventvwr.msc 文件,然后打开 eventvwr.msc 文件,EventViewer 不再与 mmc.exe 相关联,因此它启动了病毒一个随机标签的可执行文件。感谢 EventViewer 在升级模式运行的能力,病毒的可执行文件将以同样的权限启动。

过后,Erebus 就会连接到 http://ipecho.net/plain 和 http://ipinfo.io/ ,这是为了确定用户的地理位置。过后,病毒就会进入匿名网络,然后连接到其“指令和控制”伺服器。

不要低估这个勒索软件,因为它会删除卷影副本,让受害者复原数据的机会变得更少了。目前,它只要求了很小笔的赎金—— 0.85 比特币(90 美元)。最后,它启动了一个额外的讯息,再次通知用户有关 Erebus 劫持。

Files crypted!
Every important file on this computer was crypted. Please look on your documents or desktop folder for a file called README.html for instructions on how to decrypt them.

2017 年 6 月 更新:Erebus 恶意软件攻击了南韩的网站托管公司

所描述的恶意软件成功感染了一家位于南韩的网站托管公司 Nayana ,让它得以侵入数以千计的网站。这个勒索软件攻击影响了超过了整百台 Linux 伺服器,这鼓励了网络犯罪份子要求一笔超高的赎金——10 比特币,差不多接近 2.6 万美元。过后,诈骗者意识到赎金数额太高了,他们把它降低到 5.4 比特币,大约是 1.4 万美元。

这个勒索软件锁住了数据库、图像和视频,该公司在其官方网站上发布了一些说明,表示对所造成的不便感到抱歉,当局正在调查这个情况。Nayana 员工正在很努力地回应客户,并帮助他们还原所提供的备份文件。该公司目前也在与网络犯罪份子协商赎金的价格。

公司官方网站上所发布的说明也表示了网络犯罪份子可能会向公司提供不错的折扣,其中一项说明含有网络犯罪份子的部分讯息,要求 550比特币,他们甚至提供了一些计算,证明该公司有能力支付。

分布技巧

与其他的勒索软件感染不一样,这个病毒专注于使用恶意广告来攻击,它利用了用户不小心点击的广告来进行攻击。然后,用户就会被重定向到已经感染 RIG 漏洞攻击包 的网域。同样的,当用户发现到自己出现在这些网站时,Erebus 的劫持即将在几秒内发生。为了避开或至少减低网络攻击的风险,请安装适当的安全程序,让它去处理这些虚拟威胁,它也可以用来检测这些威胁,比如木马程序;或较小的威胁,比如劫持者。 

移除 Erebus 病毒

欲成功移除 Erebus 勒索软件,你需要消除恶意软件的实用程序,ReimageMalwarebytes Anti Malware 是实用的工具。请记住,这些程序必须更新至最新版本才能有效地检测这个威胁的所有组件和注册表。然后在消除后,你可以把你的注意力转移到数据复原信息。最后,请小心垃圾邮件,因为它们也往往是文件加密威胁的预兆。通过把软件保持在最新版本,以及在网上浏览时保持警惕,你不只可以减低 Erebus 勒索软件,也包括其他加密病毒的攻击风险。

 

我们可能会与我们所建议在网站上的任何产品结合。我们的使用协议里含有充分的详情。 通过下载任何所提供的反间谍软件的软件以移除Erebus 勒索病毒,您同意遵守我们的隐私政策以及使用协议
现在就行动!
下载
Reimage (移除工具) 快乐
保证
下载
Reimage (移除工具) 快乐
保证
Microsoft Windows兼容 OS X兼容
如果失败了,该怎么办呢?
如果 Reimage 无法帮你移除感染,提交问题 我们的支援团队,并尽量提供详细信息。
建议使用 Reimage 来卸载 Erebus 勒索病毒。 免费的扫描程序可以让你查看你的计算机是否受到感染。如果你需要移除恶意软件,你必须购买恶意软件移除工具 Reimage 的许可版。
欲获取更多有关这个程序的信息,请参考 Reimage 评价
提及 Reimage 的媒体

手动Erebus病毒移除指南:

使用 Safe Mode with Networking 来移除 Erebus

已知一些文件加密的威胁会锁住计算机的屏幕,或停止其他重要的系统功能,很有可能目前这个威胁也是其中一个。因此,你可能会面对 Erebus 移除问题。这些指示(为 Windows 用户所设计)将帮你重新取回访问权。

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Networking

    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Safe Mode with Networking 选择 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking 选择 'Enable Safe Mode with Networking'
  • 步骤2: 移除 Erebus

    请使用你那个已受感染的账户登录并打开网页浏览器。下载 Reimage 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个Erebus 的移除过程。

如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。

使用 System Restore 来移除 Erebus

如果自动消除没有按计划进行,请选用后一种方法。

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Command Prompt 选择 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt 选择 'Enable Safe Mode with Command Prompt'
  • 步骤2: 将你的系统文件和设置还原
    1. 一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter输入不带引号的 'cd restore' 然后点击 'Enter'
    2. 现在输入 rstrui.exe 然后再点击 Enter 一次。. 输入不带引号的 'rstrui.exe' 然后点击 'Enter'
    3. 当显示新的窗口时,点击 Next 然后选择在 Erebus 渗入之前的还原点,完成后点击 Next当 'System Restore' 窗口显示时,选择 'Next' 选择你的还原点然后点击 'Next'
    4. 现在请点击 Yes 以启动系统还原。 点击 'Yes' 并启动系统还原
    一旦你将系统还原到上一个日期,请下载 Reimage 然后使用它来扫描你的计算机,并确保 Erebus 成功完整移除。

额外指示:恢复你的数据

以上的指南将帮你从你的计算机移除 Erebus。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。

不幸的是,在 Linux 系统上被锁住的文件只能使用数据备份来复原而已。如果你没有备份,你的文件可能无法被复原了。 


如果你的文件已被 Erebus 加密,你可以使用几个方法来将它们还原:

Erebus 解密工具目前尚未可用

最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止Erebus 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirusMalwarebytes Anti Malware

关于作者

Julie Splinters - 恶意软件移除专家

如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。

联系 Julie Splinters
关于 Esolutions 公司

其他语言的移除指南