后缀.bk666勒索病毒软件技术分析,.bk666勒索病毒数据恢复,如何保护自己免受它感染
什么是后缀.Bk666勒索病毒?
后缀.Bk666勒索病毒是另一种属于Dharma勒索软件家族病毒,成功渗透后,后缀.Bk666勒索病毒会对大多数存储的数据进行加密,从而使其无法使用。此外,Bk666通过添加“ .bk666 ”扩展名以及受害者的唯一ID和开发人员的电子邮件地址来重命名每个文件。例如,“ sample.jpg ”被重命名为文件名,例如 “sample.jpg.id-1E857D00.[[email protected]].bk666”。数据加密后,Bk666会在桌面上放置一个文本文件(“ FILES ENCRYPTED.txt ”)并打开一个弹出窗口。
与Dharma的所有变体一样,Bk666的文本文件提供了一条消息,通知受害者加密并鼓励他们联系开发人员。弹出窗口提供更多信息。它声明数据只能使用解***和工具加密。每个受害者都会收到唯一的解***。要获得此工具并恢复文件,受害者必须支付赎金。费用没有具体说明,然而,犯罪分子通常需要在Monero,以太坊,比特币或其他加密货币中支付美元。事实上,研究表明,许多网络罪犯不可信任 - 一旦提交付款,受害者往往被忽视并被骗。因此,我们强烈建议您忽略所有提交付款或联系这些人的请求。鼓励用户支付赎金以解密其受损数据的消息的屏幕截图:
Bk666是有规律的勒索,类似于其他勒索型感染,包括有许多相似之处后缀.P3rf0rm4,.Metan,.Robbinhood 。虽然开发人员不同,但这些勒索软件感染的行为几乎完全相同 - 他们会破坏数据并提出赎金要求。它们通常使用RSA,AES和其他类似的加密生成唯一的解***。因此,除非病毒仍处于开发阶段或存在某些错误/缺陷,否则无需手动恢复数据(不建议与这些人联系)是不可能的。诸如Bk666之类的病毒是您应该维护定期备份的主要原因之一,然而,在未插入的存储设备(例如,外部硬盘驱动器,闪存驱动器或类似设备)或远程服务器(例如,云)上恢复它们,因为本地存储的备份使用常规数据加密。
后缀.Bk666勒索病毒技术分析:
- 检测名称:Avast(Win32:Trojan-gen),BitDefender(MemScan:Trojan.Agent.DSDW),卡巴斯基(HEUR:Trojan.Win32.Generic),ESET-NOD32(Win32 / Packed.Themida.EFP的变体)
- 完整的防病毒检测列表:VirusTotal
- 可执行文件名:exp1mod.exe
- 样本首次提交:2019-03-22
勒索软件是如何感染我的电脑的?
开发人员扩散Bk666的方法目前尚不清楚,但是,勒索软件通常使用虚假软件更新程序/**,特洛伊木马,垃圾邮件活动和非官方软件下载源进行分发。虚假更新程序通过利用过时的软件错误/漏洞或仅仅下载和安装恶意软件而不是更新来感染计算机。**工具绕过付费软件**,然而,犯罪分子利用它们来扩散恶意软件,因此用户经常最终感染他们的计算机,而不是获得对付费功能的访问权限。特洛伊木马是传染性的应用程序,渗入计算机并继续注入额外的恶意软件。垃圾邮件活动用于发送数千封带有恶意附件和欺骗性邮件的电子邮件,鼓励用户打开它们。在这样做,用户使他们的系统面临各种感染的风险。第三方软件下载源也是一个问题。开发人员通过将恶意可执行文件呈现为合法软件来扩散它们。通过这种方式,用户被欺骗下载和安装恶意软件。总之,计算机感染的主要原因是对这些威胁和粗心行为的了解不足。
| 名称 | 后缀.bk666勒索病毒 |
| 威胁类型 | 勒索软件,加密病毒,文件柜。 |
| 症状 | 无法打开存储在您计算机上的文件,以前的功能文件现在具有不同的扩展名(例如,my.docx.locked)。桌面上会显示赎金请求消息。网络犯罪分子需要支付赎金(通常是比特币)以解锁您的文件。 |
| 分配方法 | 受感染的电子邮件附件(宏),torrent网站,恶意广告。 |
| 损伤 | 所有文件都已加密,无需支付赎金即可打开。额外的密码窃取特洛伊木马和恶意软件感染可以与勒索软件感染一起安装。 |
如何保护自己免受勒索病毒感染?
为了防止这种情况,在下载,安装,更新软件和浏览互联网时要非常谨慎。使用直接下载链接仅从官方来源下载应用程序。第三方下载程序/安装程序通常包含恶意应用程序,因此永远不应使用这些工具。类似的规则适用于软件更新。保持已安装的应用程序和操作系统是最新的非常重要,但是,只使用官方开发人员提供的已实现的功能或工具。永远不要试图**已安装的软件,因为软件盗版是一种网络犯罪,并且感染的风险非常高。此外,打开电子邮件附件时要非常小心。永远不应打开不相关的文件/链接以及从可疑/无法识别的电子邮件地址收到的文件/链接。应该删除这些电子邮件而不阅读。安装并运行着名的杀毒/反间谍软件套件。这些工具可以在系统受到损害之前检测并消除恶意软件。注意是计算机安全的关键。
Bk666文本文件(“ FILES ENCRYPTED.txt ”)的屏幕截图:
第1步.使用具有网络连接的安全模式删除Bk666病毒
Windows XP和Windows 7用户:以安全模式启动计算机。单击开始,单击关机,单击重启,然后单击确定。在计算机启动过程中,多次按键盘上的F8键,直到看到“Windows高级选项”菜单,然后从列表中选择“带网络连接的安全模式”。
第2步.使用系统还原删除Bk666勒索软件。
登录感染了后缀.Bk666勒索病毒的帐户。启动Internet浏览器并下载合法的反间谍软件程序。更新反间谍软件并启动完整系统扫描。删除检测到的所有条目
如果无法在带网络连接的安全模式下启动计算机,请尝试执行系统还原。
1.在计算机启动过程中,多次按键盘上的F8键,直到出现“Windows高级选项”菜单,然后从列表中选择“带命令提示符的安全模式”,然后按ENTER。
2.加载命令提示符模式时,输入以下行:cd restore并按Enter。
3.接下来,键入以下行:rstrui.exe并按Enter。
4.在打开的窗口中,单击“下一步”。
5.选择一个可用的还原点,然后单击“下一步”(这将在Bk666勒索软件病毒渗透到您的PC之前将计算机系统还原到更早的时间和日期)
6.在打开的窗口中,单击“是”。
7.将计算机还原到以前的日期后,使用推荐的恶意软件删除软件下载并扫描您的PC,以消除任何剩余的Bk666勒索病毒文件。
要还原由此勒索软件加密的单个文件,请尝试使用Windows以前的版本功能。仅当在受感染的操作系统上启用了“系统还原”功能时,此方法才有效。请注意,已知某些Bk666变体会删除文件的Shadow Volume Copies,因此此方法可能无法在所有计算机上运行。
要还原文件,请在其上单击鼠标右键,转到“属性”,然后选择“以前的版本”选项卡。如果相关文件具有还原点,请选择它并单击“还原”按钮。
如果无法在带网络连接的安全模式下启动计算机(或使用命令提示符),请使用急救盘启动计算机。勒索软件的某些变种会禁用安全模式,使其删除变得复杂。对于此步骤,您需要访问另一台计算机。
要重新使用Bk666加密的文件,您还可以尝试使用名为Shadow Explorer的程序。
以下是由后缀.Bk666勒索病毒创建的恶意注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe “Debugger” = ‘svchost.exe’
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe “Debugger” = ‘svchost.exe’
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bk666 Ransomware
HKEY_LOCAL_MACHINE\SOFTWARE\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “WarnOnHTTPSToHTTPRedirect” = ’0′
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings “WarnOnHTTPSToHTTPRedirect” = ’0′
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore “DisableSR ” = ’1′
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe “Debugger” = ‘svchost.exe’
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe “Debugger” = ‘svchost.exe’
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “3948550101?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “xas”
HKEY_CURRENT_USER\Software\Bk666 Ransomware
使用上述方法后,请注意从PC上删除Bk666病毒时不应该有任何问题。但是,重要的是要知道这些攻击的用户现在非常普遍。您的系统很可能再次被其他恶意软件感染,因此您需要非常小心。我们都知道预防总比治疗好。因此,对于用户来说,遵循必要的预防措施是非常明智的,以便长期保持您的PC安全和健康。
- 避免从任何未经授权的网站下载免费应用程序或更新。
- 用户不得点击任何误导性和虚假广告。
- 尽量避免访问恶意或色情网站。
- 保持您的系统和所有重要程序的更新。
- 从真实和官方网站下载更新。
- 始终在您的PC中保留并更新和强大的反恶意软件工具。
- 定期扫描您的PC以查找隐藏的威胁,恶意软件和病毒。
- 不扫描时,请勿在PC中使用任何外部USB驱动器。
- 选择自定义安装过程以在PC中安装任何软件,并避免捆绑的恶意软件和PUP。
- 避免来自未知发件人的任何垃圾邮件,因为它通常带有任何恶意附件。
- 避免使用任何公开或公共网络。
探数信息科技专业对您的加密数据进行分析处理,关注勒索病毒数据恢复交流公众号: