WannaLocker病毒移除指南
什么是WannaLocker 勒索病毒?
WannaLocker ——一个伪装成 WannaCry 新变种的移动勒索软件
WannaLocker 是 WannaCry 勒索软件的冒名顶替者,目前正针对中国的安卓用户,但它有可能扩大其目标,针对来自世界各地的计算机用户。这个病毒以插件的形式,在游戏论坛上通过热门的中文游戏传播。勒索软件在受感染的设备上以动画图像替代了墙纸,然后使用 AES 加密法来加密目标文件,并添加一个独特的文件扩展名字(随机符号的字符串)。一旦所有的文件被加密后,恶意软件就会运行一个要求赎金的窗口,这个窗口看起来与 WannaCry 的相似,它以中文显示了被加密数据的相关信息,以及复原这些数据的可能性。WannaLocker 勒索软件要求支付 40 人民币,然后在完成交易后联系他们。他们会提供必要的解密密钥,然后解放已损坏的文件。同时,勒索字条里的两个计时器显示了赎金翻倍和用户即将完全丢失文件的倒计时间。然而,与其按照这些指示急着付款,受害者更应该专注于 WannaLocker 移除。为了让智能电话或平板电脑再次正常操作,从这些设备删除恶意软件是必须的。欲完成这项任务,我们建议安装 FortectIntego 的移动版本,然后运行一次完整的系统扫描。
WannaLocker 是设计来加密在受感染设备上外部储存器的文件,这个独特的技巧已经为其他移动勒索软件—— SimpLocker 搜用 。此外,恶意软件是设计来只加密不是以 “.” 为开头的文件。同时,位于DCMI、download、miad、android 和 com 目录的文件并不是这个勒索软件的目标,它也不会加密大于 10 KB 的文件。目前,还没有解密密钥可以还原被 WannaLocker 勒索软件加密的文件。然而,如果你有将你的文件备份,你可以从那儿复原你的文件。但在这之前,你必须从设备移除 WannaLocker,把智能电话连接到计算机或存取云端储存器可能导致这些位置的文件被加密。
WannaLocker 的开发者似乎是业余爱好者,或想要因为网络犯罪被发现及被被捕。网络犯罪份子并没有要求以比特币汇款,使用替代货币在黑客中是很受欢迎的,因为通过这个方法,金钱的流向是无法被追踪的,这样犯罪份子就不会被找到,但是这次骗子们要求通过 QQ、Alipay 和 WeChat 付款,这些都是在中国流行的付款方法,非常容易追踪金钱的流向,以及找出这个网络威胁的幕后指使者。为了让付款更为简单,网络犯罪份子也提供了两个 QR 代码,这些便利及小数额的赎金(大约 5-6 美元)应该不会让你想要遵循黑客的条规。他们可能并没有解密密钥,或者想要求更多的金钱。即使是小数额的金钱,对网络犯罪份子开发新的或改进现有的网络威胁也是一种动力,因此不要赞助他们,请从设备移除 WannaLocker。
恶意软件以 King of Glory 游戏的插件传播
这个移动勒索软件被发现在中文游戏论坛传播,它是以 King of Glory (王者荣耀) 插件的形式呈现,这是一个在中国非常热门的游戏,该恶意文件被命名为 “com.android.tencent.zdevs.bah”。 当用户被误导并下载该文件,WannaLocker 就会进入设备,然后启动其危险的任务。然而,网络犯罪份子可能使用(或至少计划使用)其他的勒索软件分布渠道。因此,你应该知道恶意软件可能会通过恶意垃圾邮件、恶意广告活动、漏洞攻击包、伪造的更新、色情软件下载等等来分布,这些都是网络犯罪份子最常用的方法。因此,你应该采取所有的预防措施 ,以及备份储存在移动电话和计算机的文件。
WannaLocker 勒索软件病毒的移除
从安卓电话或平板电脑移除 WannaLocker 的唯安全一方法就是安装一个适合移动设备的抗毒程序,并在它的协助下扫描系统,我们建议使用 FortectIntego 或 SpyHunter 5Combo Cleaner。然而,如果你无法安装安全工具,你必须小心执行这些步骤,然后手动删除所有与恶意软件相关的条目:
在安全模式启动你的设备:
1. 按下 开关 按钮几秒,直到菜单出现,轻触 关机 选项。
2. 在所出现的对话窗口,请选择建议重新将设备启动至 安全模式 然后轻触 确定。
然而,如果这个方法无法提供帮助,请关闭然后再开启安卓设备,然后按住“菜单”,“降低音量”或“增大音量”这两个按钮,直到看到“安全模式”选项。
从设备卸载可疑的应用程序:
1 当你的设备重新开启至“安全模式”时,去到 设置 然后点击 应用程序(或 应用程序管理器—— 名字可能因安卓设备而异)。
2. 在所出现的名单里,查看恶意应用程序然后卸载它们。
如果恶意软件成功侵入你的计算机,你也面对移除 WannaLocker 的困难,请查看我们在下面准备的指示。从计算机移除勒索软件是比较复杂的,因此你必须使用专业的安全程序。
手动WannaLocker病毒移除指南
使用 Safe Mode with Networking 来移除 WannaLocker
如果你的计算机已经感染 WannaLocker 的变种,你必须把计算机重新开启至“带有网络的安全模式”,然后你必须安装恶意软件移除程序并运行完整的系统扫描。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Networking
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Safe Mode with Networking
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking
-
步骤2: 移除 WannaLocker
请使用你那个已受感染的账户登录并打开网页浏览器。下载 FortectIntego 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个WannaLocker 的移除过程。
如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。
使用 System Restore 来移除 WannaLocker
如果之前的方法无法操作,请试试“系统还原”选项。请记住,勒索软件移除是通过专业的恶意软件移除程序来进行的。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Command Prompt
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt
-
步骤2: 将你的系统文件和设置还原
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
-
现在输入 rstrui.exe 然后再点击 Enter 一次。.
-
当显示新的窗口时,点击 Next 然后选择在 WannaLocker 渗入之前的还原点,完成后点击 Next。
-
现在请点击 Yes 以启动系统还原。
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
额外指示:恢复你的数据
以上的指南将帮你从你的计算机移除 WannaLocker。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。在下笔的此刻,复原被 WannaLocker 勒索软件加密的文件唯一的安全方法就是使用备份。如果你没有备份,请试试看以下其他的复原方法。
如果你的文件已被 WannaLocker 加密,你可以使用几个方法来将它们还原:
试试 Data Recovery Pro 来还原被加密的文件
Data Recovery Pro 是一个专业工具,原本是创建来复原损坏或已被删除的文件,但它已被更新,现在可以帮助勒索软件的受害者还原文件。
- 下载 Data Recovery Pro;
- 按照安装 Data Recovery 的步骤并在你的计算机上安装这个程序;
- 将它启动并扫描计算机以找出被 WannaLocker 勒索软件加密的文件;
- 还原它们
利用 Windows Previous Versions 的功能
如果你发现针对 Windows 计算机的 WannaLocker 勒索软件版本,你可以重返计算机的时间,然后复制文件被加密之前所保存的版本。然而,欲使用这个方法,你必须确保“系统还原”方法在勒索软件攻击之前已被启用。
- 找出你想要还原的加密文件然后右键点击它;
- 选择 “Properties” 然后移到 “Previous versions” 标签页;
- 在这里,检查 “Folder versions” 里每个文件的可用副本,你应该选择你想要还原的版本然后点击 “Restore”。
使用 ShadowExplorer 来还原文件
如果你发现到针对计算机的勒索软件版本,而且它没有删除目标文件的卷影副本,这个数据复原方法可能对你有帮助。欲使用 ShadowExplorer,请执行以下步骤:
- 下载 Shadow Explorer (http://shadowexplorer.com/);
- 按照 Shadow Explorer 安装向导然后将这个应用程序安装在你的计算机;
- 启动程序然后移到左上角的下拉菜单并选择被加密数据的硬盘,查看那儿有些什么文件夹;
- 右键点击你想要还原的文件夹然后选择 “Export”,你也可以选择你要将它储存的地方。
WannaLocker 解密软件目前尚未可用。
最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止WannaLocker 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 FortectIntego、SpyHunter 5Combo Cleaner 或 Malwarebytes
向你推荐
不要让政府监视你
政府在跟踪用户数据和监视公民方面存在许多问题,因此你应该考虑到这一点,并了解有关可疑信息收集实践的更多信息。请在互联网上完全匿名以避免任何不必要的政府跟踪或监视。
你可以选择不同的位置,上网并访问所需的任何资料,而不受到特殊内容的限制。通过使用 Private Internet Access VPN.,你可以轻松享受互联网连接,并且不会遭到黑客入侵。
控制政府或任何其他不需要方可以访问的信息,并且可以在不被监视的情况下在线浏览。即使你并没有参与非法活动,或者你信任你所选择的服务和平台,你也要对自己的安全性保持怀疑,并通过使用 VPN 服务采取预防措施。
备份文件以便在被恶意软件攻击后可以使用
由于网络感染或自己的错误行为,计算机用户可能会遭受各种各样的损失。恶意软件造成的软件问题,或加密导致的直接数据丢失,都可能会导致设备出现问题或永久损坏。如果你拥有适当的最新备份,那你可以在发生此类事件后轻松还原数据,继续工作。
在设备上进行任何更改后,创建新的备份更新非常重要,这样你就可以回到恶意软件更改任何内容或设备问题导致数据或性能损坏时的工作点。请持续这种行为,让文件备份成为你每天或每周的习惯。
当你拥有每个重要文档或项目的先前版本时,你就不会感到沮丧和崩溃,因为当恶意软件突然出现时,它就能派上用场。请使用 Data Recovery Pro 进行系统还原。
如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。