Erebus病毒移除指南
什么是Erebus 勒索病毒?
Erebus Linux 勒索软件锁定伺服器为目标
Erebus 勒索软件是一个恶意的程序,目的是侵入 Linux 系统,尤其是伺服器。就像其他的勒索软件 一样,其主要目的是尽可能损坏越多的机器,然后要求一份巨大的赎金。这个勒索软件的最初版本使用了 RSA-2048 加密法、在被加密的文件名字添加 .ecrypt 文件扩展名字,并留下两份勒索字条: YOUR_FILES_HAS_BEEN_ENCRYPTED.txt” 和 YOUR_FILES_HAS_BEEN_ENCRYPTED.html。这个病毒之前在南韩使用了被骇入的网站作为其“指令和控制” (Command and Control, C&C) 伺服器,这个版本有能力加密超过 423 不同的文件类型。
此勒索软件的后续版本已经可以绕过“用户帐户控制” (User Account Control, UAC) 功能,以更高的权限自我启动。该病毒表示,如果受害者无法达到它的要求,没有在 96 个小时内支付 0.085 比特币,储存在计算机上的文件将被删除。最新的版本会删除卷影副本,以防止被加密的文件免费被复原。虽然把个人文件储存在外部储存器可以在勒索软件攻击的情况下,帮你挽救一些文件,但大部分的计算机用户并不觉得有需要这么做。因此,他们不得不对丢失文件感到后悔,并拼命寻求数据复原方法。无论你是 Windows、Mac 或 Linux 用户,你都必须采取预防措施以对抗恶意攻击。我们建议使用如 FortectIntego 或 SpyHunter 5Combo Cleaner 来移除勒索软件。欲移除 Erebus,你必须使用与 Linux 兼容的软件。
2017 年 2 月更新:Erebus 病毒改进,要求了较低的赎金。
网络安全专家在二月发现到 Erebus 病毒的新版本,它使用了 AES 加密法 来加密目标文件,并使用 ROT-23 密码来修改文件扩展名字,然后它在桌面上储存 README.html 文件,此里面含有如何复原文件的指示。与这种类型的病毒一样,Erebus 催促受害者在 96 个小时内支付赎金。黑客们喜欢使用一次性的电邮地址来联系受害者。然而,关于网络犯罪份子是否有回应受害者及传输文件,这些信息太少了 。如果你已经陷入这个勒索软件的陷阱,请专注于 Erebus 移除。
目前这个版本会绕过“用户帐户控制” 窗口,或者换句话说,禁用了在安装新程序时启动对话框的功能。同样的,Erebus 加密恶意软件也剥夺了受害者手动停止感染的权利。此外,这个病毒修改了注册表项以加速其功能。这个勒索软件会启动 eventvwr.msc 文件,然后打开 eventvwr.msc 文件,EventViewer 不再与 mmc.exe 相关联,因此它启动了病毒一个随机标签的可执行文件。感谢 EventViewer 在升级模式运行的能力,病毒的可执行文件将以同样的权限启动。
过后,Erebus 就会连接到 http://ipecho.net/plain 和 http://ipinfo.io/ ,这是为了确定用户的地理位置。过后,病毒就会进入匿名网络,然后连接到其“指令和控制”伺服器。
不要低估这个勒索软件,因为它会删除卷影副本,让受害者复原数据的机会变得更少了。目前,它只要求了很小笔的赎金—— 0.85 比特币(90 美元)。最后,它启动了一个额外的讯息,再次通知用户有关 Erebus 劫持。
Files crypted!
Every important file on this computer was crypted. Please look on your documents or desktop folder for a file called README.html for instructions on how to decrypt them.
2017 年 6 月 更新:Erebus 恶意软件攻击了南韩的网站托管公司
所描述的恶意软件成功感染了一家位于南韩的网站托管公司 Nayana ,让它得以侵入数以千计的网站。这个勒索软件攻击影响了超过了整百台 Linux 伺服器,这鼓励了网络犯罪份子要求一笔超高的赎金——10 比特币,差不多接近 2.6 万美元。过后,诈骗者意识到赎金数额太高了,他们把它降低到 5.4 比特币,大约是 1.4 万美元。
这个勒索软件锁住了数据库、图像和视频,该公司在其官方网站上发布了一些说明,表示对所造成的不便感到抱歉,当局正在调查这个情况。Nayana 员工正在很努力地回应客户,并帮助他们还原所提供的备份文件。该公司目前也在与网络犯罪份子协商赎金的价格。
公司官方网站上所发布的说明也表示了网络犯罪份子可能会向公司提供不错的折扣,其中一项说明含有网络犯罪份子的部分讯息,要求 550比特币,他们甚至提供了一些计算,证明该公司有能力支付。
分布技巧
与其他的勒索软件感染不一样,这个病毒专注于使用恶意广告来攻击,它利用了用户不小心点击的广告来进行攻击。然后,用户就会被重定向到已经感染 RIG 漏洞攻击包 的网域。同样的,当用户发现到自己出现在这些网站时,Erebus 的劫持即将在几秒内发生。为了避开或至少减低网络攻击的风险,请安装适当的安全程序,让它去处理这些虚拟威胁,它也可以用来检测这些威胁,比如木马程序;或较小的威胁,比如劫持者。
移除 Erebus 病毒
欲成功移除 Erebus 勒索软件,你需要消除恶意软件的实用程序,FortectIntego 或 Malwarebytes 是实用的工具。请记住,这些程序必须更新至最新版本才能有效地检测这个威胁的所有组件和注册表。然后在消除后,你可以把你的注意力转移到数据复原信息。最后,请小心垃圾邮件,因为它们也往往是文件加密威胁的预兆。通过把软件保持在最新版本,以及在网上浏览时保持警惕,你不只可以减低 Erebus 勒索软件,也包括其他加密病毒的攻击风险。
手动Erebus病毒移除指南
使用 Safe Mode with Networking 来移除 Erebus
已知一些文件加密的威胁会锁住计算机的屏幕,或停止其他重要的系统功能,很有可能目前这个威胁也是其中一个。因此,你可能会面对 Erebus 移除问题。这些指示(为 Windows 用户所设计)将帮你重新取回访问权。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Networking
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Safe Mode with Networking
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking
-
步骤2: 移除 Erebus
请使用你那个已受感染的账户登录并打开网页浏览器。下载 FortectIntego 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个Erebus 的移除过程。
如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。
使用 System Restore 来移除 Erebus
如果自动消除没有按计划进行,请选用后一种方法。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Command Prompt
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt
-
步骤2: 将你的系统文件和设置还原
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
-
现在输入 rstrui.exe 然后再点击 Enter 一次。.
-
当显示新的窗口时,点击 Next 然后选择在 Erebus 渗入之前的还原点,完成后点击 Next。
-
现在请点击 Yes 以启动系统还原。
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
额外指示:恢复你的数据
以上的指南将帮你从你的计算机移除 Erebus。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。不幸的是,在 Linux 系统上被锁住的文件只能使用数据备份来复原而已。如果你没有备份,你的文件可能无法被复原了。
如果你的文件已被 Erebus 加密,你可以使用几个方法来将它们还原:
Erebus 解密工具目前尚未可用
最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止Erebus 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 FortectIntego、SpyHunter 5Combo Cleaner 或 Malwarebytes
向你推荐
不要让政府监视你
政府在跟踪用户数据和监视公民方面存在许多问题,因此你应该考虑到这一点,并了解有关可疑信息收集实践的更多信息。请在互联网上完全匿名以避免任何不必要的政府跟踪或监视。
你可以选择不同的位置,上网并访问所需的任何资料,而不受到特殊内容的限制。通过使用 Private Internet Access VPN.,你可以轻松享受互联网连接,并且不会遭到黑客入侵。
控制政府或任何其他不需要方可以访问的信息,并且可以在不被监视的情况下在线浏览。即使你并没有参与非法活动,或者你信任你所选择的服务和平台,你也要对自己的安全性保持怀疑,并通过使用 VPN 服务采取预防措施。
备份文件以便在被恶意软件攻击后可以使用
由于网络感染或自己的错误行为,计算机用户可能会遭受各种各样的损失。恶意软件造成的软件问题,或加密导致的直接数据丢失,都可能会导致设备出现问题或永久损坏。如果你拥有适当的最新备份,那你可以在发生此类事件后轻松还原数据,继续工作。
在设备上进行任何更改后,创建新的备份更新非常重要,这样你就可以回到恶意软件更改任何内容或设备问题导致数据或性能损坏时的工作点。请持续这种行为,让文件备份成为你每天或每周的习惯。
当你拥有每个重要文档或项目的先前版本时,你就不会感到沮丧和崩溃,因为当恶意软件突然出现时,它就能派上用场。请使用 Data Recovery Pro 进行系统还原。
如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。