移除 Wallet 病毒 (移除说明) - 2017 年 4月 更新
Wallet病毒移除指南
什么是Wallet 勒索软件病毒?
Wallet 勒索软件持续在更新中
在安全专家检测到这个标记着文件已被侵入的文件扩展时,Wallet 勒索软件病毒就诞生了。经过测试,发现到这个加密勒索软件 源自于 Dharma 病毒家族,已知这个地位稳固的勒索软件组别在受侵入的计算机上锁住文件时,会使用复杂的加密计算法,比如 AES 和 RSA。此外,它们向想取回数据的受害者要求付款。虽然 Dharma 和 Wallet 的代码几乎完全相同,而专家们也交替使用它们的名字,但在另一方面,普通用户可能感觉不同,我们理解其中原因。每一个病毒版本都使用不同的扩展名字来标记被加密的文件。根据这个勒索软件的受害者指出,病毒会留下 .wallet 或 [mk.scorpion@aol.com].wallet.lock 文件扩展名字。此外,它提供了不同的电邮地址,让用户可以联系网络犯罪份子。为了让事情更简单并节省你的一些时间,我们将在接下来的几段讨论 Wallet 变种的主要特征。你也会在文章末尾找到如何从计算机移除 Wallet (Dharma) 的有用建议。
Wallet 勒索软件是 Dharma 病毒的一个版本,因此它的勒索字条(如上所示)和编程代码与原来的病毒非常相似。
一旦 Wallet 病毒安置在系统后,它会激活其恶意的可执行文件,然后启动系统扫描。在扫描期间,病毒会找出特定的文件扩展,都是主要与用户相关的个人文档、媒体文件、存档等等 。在找到这些文件后,文件就会被加密,而文件名字后面也会被加入 .wallet 或[mk.scorpion@aol.com].wallet.lock ,另外还包含敲诈者电邮地址的扩展名字。此外,病毒也会以含有文件复原指示的勒索字条来更换桌面的图像。这是该字条的转录:
“//hallo, our dear friend!
//looks like you have some troubles with your security.
//all your files are now encrypted.
//using third-party recovering software will corrupt your data.
//you have only one way to get them back safely – using our decryption tool.
//to get original decryption tool contact us with email. in subject like write your ID, which you can find in name of every crypted file, also attach to email 3 crypted files.
lavandos@dr.com
//it is in your interest to respond as soon as possible to ensure the restoration of your files, because we won’t keep your decryption keys at our servers more than 72 hours in interest of our security.
//P.S. only in case you don’t receive a response from the first email address within 24 hours, please use this alternative email address.
amagnus@india.com
正如我们所提到的,勒索字条里的电邮地址可能会更改。可能的选项包括 Mmk.scorpion@aol.com、orlegionfromheaven@india.com、destroed_total@aol.com、stopper@india.com、bitcoin143@india.com、mkgoro@india.com、mkliukang@india.com、lavandos@dr.com。虽然很明显的病毒背后的黑客并不是以英语为母语,但勒索字条和电邮地址都是以英文书写 ,笨拙的句法结构和错误的拼写出卖了他们。尽管如此,他们的目标是使用这个语言并了解情况的用户。虽然进一步的数据复原指示在直接联系犯罪份子后才能知晓,但我们可以预测犯罪份子要求受害者以比特币支付一笔赎金,而且必须通过匿名网络达成交易。不必多说,支付赎金应该是列表里的最后一项。相反的,专家们建议进行 Wallet 移除,并拒绝付钱给犯罪份子来支持他们。
.Wallet 勒索软件的版本
Joker_lucker@aol.com 是其中一个 Wallet 勒索软件病毒的版本,它使用了 AES 和 RSA 加密计算法。这些计算法被用来加密 word、pdf、excel 及类似文件,让它们无法被存取。你可以从文件的扩展名字区别被 Joker_lucker@aol.com 病毒或其他勒索软件加密的文件,这个电邮地址已被用来标注目标文件,同时也向受害者发出警告,他们将无法使用这些文件。如果受到感染,你应该从备份还原你的文件。据黑客所称,你应该购买一个特别的解密密钥,这个密钥是在加密过程完成后通过“指令和控制”伺服器发送给他们的。请记住,不要根据黑客的要求行事,因为你将会一无所有!
Mk.scorpion@aol.com 勒索软件病毒 能加密你保存在计算机里的绝大部分文件。就像其之前的版本一样,它在完成加密过程后即开始要求赎金。这个勒索软件通常会在损坏的文件留下 .[Mk.scorpion@aol.com].wallet 文件扩展名字,而且也会置放一个通知受害者有关文件复原的 README.txt 文件。然而,Mk.scorpion@aol.com 勒索软件的复原步骤并不像其他勒索软件作者提供的那样详细,但你不应该考虑付款给网络犯罪份子。
这个病毒是如何到处传播的?
就像其原版一样,Wallet 使用了网络钓鱼的方法 进入计算机。在大多数情况下,诈骗者使用垃圾邮件活动把受感染的文件传送到潜在受害者的收件箱里。用户只是下载了一个附加在电邮的文件,这封电邮看起来非常有说服力,因而让这个病毒有机可乘。今天,仍然有很多计算机用户掉进这样的陷阱。然而,很难对他们加以责备,因为黑客们总是运用先进的社交工程技术,让受害者相信他们必须下载所谓的机票、发票或账单文档。这只是告诉我们,即使电邮发自一些声誉良好的组织或政府机构,我们也不应该把每一封电邮都认为是理所当然的。你应该在打开你的电邮之前,记得先将它检查,防止 Wallet 加密你的文件。
Wallet 勒索软件移除技巧
当谈到复杂性和对系统的影响,勒索软件是其中最领先的病毒之一。考虑到这一点,认为 Wallet 能轻易被移除是天真的想法。当然,有些工具能让勒索软件的消除相对之下没那么困难,使用专业的反恶意软件实用工具进行一个彻底的系统扫描不会花费你超过 10 分钟的时间。完成系统扫描后,你就能正常地使用你的计算机了。如果你在第一次无法移除 Wallet 病毒,没有人说当你试图消灭病毒时,它不会反击。请移到文章末尾,我们提供了 Wallet 移除指示,请仔细按照步骤操作。
手动Wallet病毒移除指南
使用 Safe Mode with Networking 来移除 Wallet
当你的设备处在“安全模式”时,是比较容易进行 Wallet 移除的。以下你会找到如何在这个特定模式启动计算机的指示。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Networking
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
- 从列表中选择 Safe Mode with Networking
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
- 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking
-
步骤2: 移除 Wallet
请使用你那个已受感染的账户登录并打开网页浏览器。下载 FortectIntego 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个Wallet 的移除过程。
如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。
使用 System Restore 来移除 Wallet
为了确保顺利移除勒索软件,你必须进行一些额外的工作,然后按照以下提供的步骤移除病毒。不要忘了在过后自动扫描你的设备!
-
步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
- 从列表中选择 Command Prompt
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
- 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt
-
步骤2: 将你的系统文件和设置还原
- 一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
- 现在输入 rstrui.exe 然后再点击 Enter 一次。.
- 当显示新的窗口时,点击 Next 然后选择在 Wallet 渗入之前的还原点,完成后点击 Next。
- 现在请点击 Yes 以启动系统还原。
额外指示:恢复你的数据
以上的指南将帮你从你的计算机移除 Wallet。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。如果你的文件已被 Wallet 加密,你可以使用几个方法来将它们还原:
使用 Data Recovery Pro 轻易解密被 Wallet 加密的文件
在你从计算机消除 Wallet 后,也不要忘记解密你的数据!请试试以 Data Recovery Pro 进行自动复原。
[GIS=method-2]
Windows Previous Versions 功能是一个复原加密数据非常方便及有效的方法。尽管如此,这个方法只能在病毒攻击你的计算机之前,“系统复原”功能已经启用才有效。
[GIS=method-3]
ShadowExplorer 是一个使用被加密文件的卷影副本来复原它们的软件。这个复原方法只能在卷影副本没有损坏或被病毒删除的情况下才有效。
- 下载 Data Recovery Pro;
- 按照安装 Data Recovery 的步骤并在你的计算机上安装这个程序;
- 将它启动并扫描计算机以找出被 Wallet 勒索软件加密的文件;
- 还原它们
使用 Dharma 解密软件 来解密被 Wallet 勒索软件加密的文件
Dharma 解密密钥在数个月前已出现,幸运的是卡巴斯基的安全专家已经成功以这些密钥更新 Rakhni 解密程序,因此它可以被用来复原被 Wallet 加密的文件,你可以在此外将它下载。
最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止Wallet 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 FortectIntego、SpyHunter 5Combo Cleaner 或 Malwarebytes
向你推荐
不要让政府监视你
政府在跟踪用户数据和监视公民方面存在许多问题,因此你应该考虑到这一点,并了解有关可疑信息收集实践的更多信息。请在互联网上完全匿名以避免任何不必要的政府跟踪或监视。
你可以选择不同的位置,上网并访问所需的任何资料,而不受到特殊内容的限制。通过使用 Private Internet Access VPN.,你可以轻松享受互联网连接,并且不会遭到黑客入侵。
控制政府或任何其他不需要方可以访问的信息,并且可以在不被监视的情况下在线浏览。即使你并没有参与非法活动,或者你信任你所选择的服务和平台,你也要对自己的安全性保持怀疑,并通过使用 VPN 服务采取预防措施。
备份文件以便在被恶意软件攻击后可以使用
由于网络感染或自己的错误行为,计算机用户可能会遭受各种各样的损失。恶意软件造成的软件问题,或加密导致的直接数据丢失,都可能会导致设备出现问题或永久损坏。如果你拥有适当的最新备份,那你可以在发生此类事件后轻松还原数据,继续工作。
在设备上进行任何更改后,创建新的备份更新非常重要,这样你就可以回到恶意软件更改任何内容或设备问题导致数据或性能损坏时的工作点。请持续这种行为,让文件备份成为你每天或每周的习惯。
当你拥有每个重要文档或项目的先前版本时,你就不会感到沮丧和崩溃,因为当恶意软件突然出现时,它就能派上用场。请使用 Data Recovery Pro 进行系统还原。