PyLocky 勒索软件是一种文件锁定恶意软件,旨在锁定重要文件并要求受害者勒索赎金以换取数据恢复。 这个新的勒索软件使用 .lockymap 扩展名来标记它加密的文件。 它通过在系统中丢弃以下恶意负载来开始执行攻击:
名称:facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
大小:MB 5.3
在丢弃其恶意负载后,该加密恶意软件将受感染的计算机连接到远程服务器,在那里下载更多恶意文件并将它们放在系统文件夹中。 然后它应用一个数据收集模块来收集有关用户和计算机的数据。 先前下载的恶意文件连同获得的数据用于另一个称为隐身保护的模块。 这允许 PyLocky 勒索软件在没有被系统中安装的任何安全或防病毒程序检测到的情况下执行其攻击。 它还修改了 Windows 注册表中的一些注册表项和条目,例如:
完成所有修改后,PyLocky 勒索软件将开始使用复杂的加密密码对其目标文件进行加密。 加密后,它会在每个加密文件中添加 .lockymap 扩展名,并发布一份名为“LOCKY-README.txt”的赎金票据,其中包含以下内容:
“请注意:
您的所有文件、图片文档和数据均已使用军用级加密 RSA ABS-256 进行加密。
您的信息不会丢失。 但加密。
为了恢复文件,您必须购买解密器。
请按照以下步骤恢复您的文件。
1* 下载 Tor 浏览器。 (只需输入谷歌“下载 Tor”
2' 浏览到 URL:http://4wcgqlckaazungm.onion/index.php
3* 购买 Decryptor 以恢复您的文件。
这很简单。 如果您不相信我们可以恢复您的文件,那么您可以免费恢复 1 个图像格式的文件。
请注意时间在流逝。 价格将每 96 小时翻一番,因此请明智地使用它。
您的唯一 ID :
注意:
请不要尝试修改或删除任何加密文件,因为它很难恢复。
支持:
您可以联系支持人员帮助您解密文件。
单击 http://4wcgqlckaazungm.onion/index.php 上的支持”
PyLocky 勒索软件使用恶意垃圾邮件活动进行传播。 此威胁的创建者将受感染的附件嵌入垃圾邮件,并使用垃圾邮件机器人发送它们。 骗子甚至可能会使用欺骗性策略来诱使您立即打开装有恶意软件的恶意软件,这是您绝对不能做的。 因此,在打开任何电子邮件之前,请确保您已彻底检查它们。
要从您的计算机成功清除 PyLocky 勒索软件,请参阅下面列出的清除指南。
%TEMP%
%WINDIR%System32任务
%APPDATA%MicrosoftWindows 模板
%USERPROFILE%下载
%USERPROFILE%桌面
HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULT控制面板桌面
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USER软件MicrosoftWindowsCurrentVersionRunOnce
尝试使用卷影副本恢复您的加密文件
使用 Windows 恢复加密文件 以前的版本 仅当 PyLocky 勒索软件未删除您文件的卷影副本时,此功能才会有效。 但是,这仍然是最好的免费方法之一,因此绝对值得一试。
恢复加密文件, 右键点击 在它上面并选择 查看房源, 将弹出一个新窗口,然后继续 以前的版本. 它将在修改之前加载文件的先前版本。 加载后,选择列表中显示的任何先前版本,如下图所示。 然后点击 恢复 按钮。
请注意: 以下过程将删除所有已安装的游戏。
“操作系统加载程序没有签名。 与 SecureBoot 不兼容。 所有可启动设备均未通过安全启动验证。”导致此错误的主要原因有两个 - 可能是您的计算机使用了错误的非真实引导映像文件,或者 Windows 操作系统安装在 BIOS 模式下。 要修复此错误,您可以尝试执行“冷”启动或重置 BIOS 或重置 Windows 10 计算机。
“此策略设置允许您在登录 UI、开始菜单和任务管理器中隐藏切换用户界面。 如果启用此策略设置,则对尝试登录或已登录应用此策略的计算机的用户隐藏“切换用户”界面。 切换用户界面出现在登录 UI、开始菜单和任务管理器中的位置。 如果禁用或未配置此策略设置,则三个位置的用户都可以访问切换用户界面。”
MyFunCards Toolbar 是 Mindspark Interactive 开发的 Google Chrome 浏览器劫持扩展程序。 此扩展程序为您的浏览器安装工具栏,更改您的默认搜索引擎,并降低浏览器的总体性能。 此扩展程序可以访问您的个人信息,在您的搜索结果中插入具有潜在危险的广告,并可能破坏某些浏览器功能。 由于此扩展程序将其代码注入太多文件并可以访问您的所有浏览器详细信息,因此删除它后,您将丢失所有浏览器设置、主题和登录信息。 MyFunCards 被视为潜在有害应用程序,因此被许多反恶意软件程序标记为可选择删除。
EasyEmailSuite 是 MyWay 制作的浏览器扩展程序,它可能与您从 Internet 下载的其他免费软件捆绑在一起。 安装 EasyEmailSuite 后,您的 Web 浏览器的主页和搜索引擎将设置为 http://search.myway.com。 EasyEmailSuite 是一个允许用户访问他们的电子邮件的应用程序。 最初,这个应用程序可能看起来合法且有用,但是,EasyEmailSuite 被归类为浏览器劫持者。 此扩展将您的主页和搜索引擎更改为 MyWay。 它会监控您的搜索活动并收集数据,这些数据稍后会出售/转发以在您的浏览器中显示其他不需要的广告。 一些防病毒扫描程序已将 EasyEmailSuite 归类为浏览器劫持者 / PUP,因此不建议将其保留在您的计算机上。