严重程度量表:  
  (96/100)

RoshaLock 勒索软件病毒. 如何移除? (卸载指南)

朱莉·史匹灵特斯 评价 - - | 类型:勒索软件
12

新的勒索软件品种呈献了 RoshaLock 病毒,它会把文件关闭在受到密码保护的存档里

最近一个新发现的 RoshaLock 病毒以 All_your_documents 勒索软件的形式出现,它首次被发现于 2017 年 2 月 ,过后就开始进化。今天,我们知道最少有两个 RoshaLock 勒索软件的版本。用户最近开始报告关于 RoshaLock 2.0 勒索软件的攻击,这意味着初始的勒索软件版本已经被更新。这个病毒与其他的勒索软件程序不一样,因为它并没有加密受害者的文件,而是收集了所有目标文件,然后把它们放在存档里(每个驱动器一个存档文件),并以密码保护。在对该勒索软件进行分析时,发现到它的目标竟然是 2634 不同的文件类型。换句话说,当这个恶意程序完成其操作后,应该很难留下任何没被加密的文件。这个病毒将这些存档命名为 All_Your_Documents.rar,并将它们存储在特别创建的文件夹里:[Drive letter]:\All_Your_Documents\All_Your_Documents.rar。然后,RoshaLock 就会创建一封名字为called All Your Files in Archive! .txt 的勒索字条。 

勒索字条备有五个不同的语言——英语、德语、法语、西班牙与和意大利语,它告知用户要小心阅读指示。首先,它指令受害者下载 WinRAR 和 TOR (洋葱路由器,匿名)浏览器。然后,它解释了如何通过匿名浏览器进入付款网站,找出如何购买可以解锁这些存档并将文件释放出来的密码。付款网站表示伺服器只收取比特币而已 ,并显示了初始的赎金价格,警告用户如果他们无法在进入网站那一刻后的 3 天内支付赎金,赎金将每天提高 0.05 比特币。目前,还不知道网络犯罪份子是否会按照他们的说法,为受害者提供解密的方法。我们建议不要听从网络犯罪份子,应该拒绝支付赎金。如果你支付了赎金,你只会支持网络犯罪份子行业,允许它继续成长 。与其按照勒索软件骗子所说的,你应该做的是马上从系统移除 RoshaLock 勒索软件。它可能与其他恶意程序捆绑在一起进入系统,因此我们必须劝告你使用反恶意软件来移除 RoshaLock。我们的团队建议你使用 Reimage 软件,但是 Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirusMalwarebytes Anti Malware 也是替代的选项。

关于 RoshaLock 2.0 勒索软件病毒,你所知道的是什么?

最近,恶意软件分析人员被通知有关 RoshaLocker 恶意软件版本,它把自己呈现为 RoshaLock 2.0。很明显的这是该勒索软件一个已更新的版本,与初始的 All_your_documents.rar 勒索软件相比,它要求了更高的赎金。这次它要求的是 1.05 比特币,而初始的版本“只”要求了 0.35 比特币。勒索字条的和密码保护的存档名字都没有更换, 该病毒仍然创建了 All_Your_Documents.rar 的存档标题来储存文件,并创建了 All Your Files in Archive! .txt 的勒索字条。目前,还没找到方法来还原被这个肮脏勒索病毒夺走的数据。

目前使用的分布方法

根据用户的报告,RoshaLocker 勒索软件是以伪造的“excel file repair programs”(excel 文件修复程序)形式传播,但我们也不排除勒索软件通过电邮或其他勒索软件分布方法分发出去的可能性。它可能通过漏洞攻击包 分布。你可以通过遵循以下的条规减低病毒感染的风险。

  • 将你的程序保持在最新版本。如果你及时更新你的程序,你可以把通过漏洞攻击包攻击的风险降到最低。
  • 创建数据备份。即使你拥有最强效的抗毒软件,你还是可能感染勒索软件的(你可能成为新发行勒索软件的第一个受害者)。在这种情况下,拥有数据备份可能是一种挽救的方法。
  • 不要打开可疑的邮件。网络犯罪份子会伪装成任何他们想要成为的人,但不要让他们所骗,或者被诱骗相信他们的文件。他们可能试图说服你,他们来自“亚马逊/贝宝”等等,并向你发送一份你必须查看的发票/文档/收据。不要急着打开这些附件,因为它们可能具带有传染性。

移除 RoshaLock 勒索软件

无论我们有多么失望,RoshaLock 病毒是一个架构良好的勒索软件威胁。如果它成功偷偷地溜进系统,文件就会被锁住,你几乎无法再看到你的文件。由于密码保护的 RAR 文件其实就是一个已经加密以及受到密码保护的存档,因此是根本无法猜出其解密密钥的。如果你不了解这种情况,复杂的加密计算法是无法破解的,这就是说你无法再使用或看到你的文件。如果你支付赎金,网络犯罪份子有可能为你提供解密密钥,但我们高度质疑这一点。此外,我们不建议通过支付赎金支持网络犯罪行业。欲移除 RoshaLock,请启动一个反恶意软件,让它为你清理系统。当你移除 RoshaLock 病毒后,找出你的备份,然后从中将重要的文件导入无病毒的计算机里。 

我们可能会与我们所建议在网站上的任何产品结合。我们的使用协议里含有充分的详情。 通过下载任何所提供的反间谍软件的软件以移除RoshaLock 勒索软件病毒,您同意遵守我们的隐私政策以及使用协议
现在就行动!
下载
Reimage (移除工具) 快乐
保证
下载
Reimage (移除工具) 快乐
保证
Microsoft Windows兼容 OS X兼容
如果失败了,该怎么办呢?
如果 Reimage 无法帮你移除感染,提交问题 我们的支援团队,并尽量提供详细信息。
建议使用 Reimage 来卸载 RoshaLock 勒索软件病毒。 免费的扫描程序可以让你查看你的计算机是否受到感染。如果你需要移除恶意软件,你必须购买恶意软件移除工具 Reimage 的许可版。
欲获取更多有关这个程序的信息,请参考 Reimage 评价
提及 Reimage 的媒体

手动RoshaLock病毒移除指南:

使用 Safe Mode with Networking 来移除 RoshaLock

这是第一个可以帮你移除 RoshaLock 2.0 或初始 RoshaLock 病毒变种的方法,请小心执行这些指示!

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Networking

    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Safe Mode with Networking 选择 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking 选择 'Enable Safe Mode with Networking'
  • 步骤2: 移除 RoshaLock

    请使用你那个已受感染的账户登录并打开网页浏览器。下载 Reimage 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个RoshaLock 的移除过程。

如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。

使用 System Restore 来移除 RoshaLock

如果方法 1 无法帮你移除勒索软件,请试看这个选项。

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Command Prompt 选择 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt 选择 'Enable Safe Mode with Command Prompt'
  • 步骤2: 将你的系统文件和设置还原
    1. 一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter输入不带引号的 'cd restore' 然后点击 'Enter'
    2. 现在输入 rstrui.exe 然后再点击 Enter 一次。. 输入不带引号的 'rstrui.exe' 然后点击 'Enter'
    3. 当显示新的窗口时,点击 Next 然后选择在 RoshaLock 渗入之前的还原点,完成后点击 Next当 'System Restore' 窗口显示时,选择 'Next' 选择你的还原点然后点击 'Next'
    4. 现在请点击 Yes 以启动系统还原。 点击 'Yes' 并启动系统还原
    一旦你将系统还原到上一个日期,请下载 Reimage 然后使用它来扫描你的计算机,并确保 RoshaLock 成功完整移除。

额外指示:恢复你的数据

以上的指南将帮你从你的计算机移除 RoshaLock。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。

遗憾的是,我们无法为你提供复原数据的好消息。你可以从你的备份还原你的文件,但不幸的是计算机用户通常没有进行备份。我们在下面描述了可能复原数据的技巧。

如果你的文件已被 RoshaLock 加密,你可以使用几个方法来将它们还原:

Data Recovery Pro

当文件被加密、损坏、或被删除,Data Recovery Pro 可能可以派上用场,只需使用这些软件运行系统扫描,找出可以被复原的文件。

RoshaLocker 解密工具尚未可用。

最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止RoshaLock 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirusMalwarebytes Anti Malware

关于作者

Julie Splinters - 恶意软件移除专家

如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。

联系 Julie Splinters
关于 Esolutions 公司

其他语言的移除指南