一个名为.Bear病毒的被发现。正如安全研究人员所确认的那样,它是一种臭名昭着的Dharma加密病毒株。当在目标系统上启动其有效负载文件时,它会触发一系列恶意修改,以便到达主要的感染阶段 – 数据加密。在加密过程中,勒索软件利用复杂的密码算法对存储在受感染设备上的有价值文件进行编码。加密后,您无法访问由损坏的文件存储的信息。如何识别这些文件是通过附加到其原始名称的特定扩展字符串。该字符串以扩展名.Bear后缀结尾。此外,文件FILES ENCRYPTED.txt中包含赎金消息 屏幕上弹出窗口,试图强迫您联系***以获取更多详细信息。
近期发现的Dharma变体包括但不限于: .adobe/ .tron/ .cccmn/ .like/ .gdb/ .xxxxx/ .back/ .AUDIT/ .FUNNY/ .vanss/ .gamma/ .btc/ .bgtx/
| 名称 | .Bear勒索病毒 |
| 类型 | 勒索软件,Cryptovirus |
| 简短的介绍 | Dharma勒索软件的一种变体,用于加密有价值的数据并限制对其的访问。 |
| 症状 | 重要文件已损坏,并使用以扩展名.Bear结尾的一系列扩展名重命名。Ransom消息促请您联系***以获取文件恢复说明。 |
| 分配方法 | 垃圾邮件,电子邮件附件 |
.Bear勒索病毒 – 概述
受这种Dharma勒索软件影响的注册表子键很可能是Run and RunOnce。这可以通过以下事实来解释:它们管理自动执行对于正确系统负载至关重要的所有文件和对象。最终,当这些密钥下存在勒索软件值时,每次启动系统时都会执行其感染文件。因此,最好检查以下注册表路径是否存在恶意条目并清除它们,以便能够再次安全地使用您的系统:
→HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
在***结束时.Bear加密病毒已经准备好进行所有系统修改,它会丢弃一个名为FILES ENCRYPTED.txt的TXT文件并在屏幕上打开它。此文件包含赎金消息,敦促您通过邮件与***联系
3.出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机。当您的计算机处于安全模式时,屏幕的所有四个角都会出现“ 安全模式 ” 字样
4.修复PC上恶意软件和PUP创建的注册表项。
2.在PC上查找.Bear勒索病毒创建的文件
在较旧的Windows操作系统中,传统方法应该是有效的方法
1.单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项
2.出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
相关资源:iZotope Ozone VST (臭氧) V4.0.3.274 绿色汉化版.zip-制造工具类…
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!