什么是杜瓦勒索?

杜瓦 是一种勒索型病毒从一个相对较新的家庭组起源称为火卫一. Phobos是基于佛法勒索的新菌株 (a.k.a. 孤岛危机) 这似乎在开始 2019. 属于该组病毒通过黑客远程桌面主要分布 (RDP) 连接. 一旦渗透, 该病毒会更改系统配置,包括任务管理器和注册表. 也, 它运行在%APPDATA%文件夹开始加密程序的可执行文件. 之后, 网络犯罪分子勒索受害人支付了在弹出窗口的形式呈现的勒索信. 然而, 它是不是最好的选择,不管这些数据有多重要你. 如果您的计算机感染了杜瓦勒索, 没有理由要为你的文件进行解密, 因为在大多数情况下,网络犯罪分子会要求更多的钱, 即使你支付全部费用赎金. 反而, 您可以使用本教程来去除杜瓦勒索和解密.dewar文件.

除去杜瓦勒索

一旦加密过程完成, 您将无法打开文件与 .ID-XXXXXXXX。[kryzikrut@airmail.cc].杜瓦 扩展除非他们被解密. 这里, 杜瓦勒索滴 2 文件: info.txt和info.hta包含绑架者的要求. 网络犯罪分子敦促用户通过电子邮件与他们联系: kryzikrut@airmail.cc / kokux@tutanota.com或电报: @hpdec知道赎金数额,并尽快解决问题. 照常, 网络犯罪分子提供的几个文件免费解密,以证明他们真的可以解密受害者的文件. 通常, 这种病毒程序加密数据安全足以让你有没有从网络犯罪分子选择,但购买解密工具. 定期备份将节省您的这些问题. 值得一提的是,文件保持甚至去除勒索软件的加密后, 其缺失只阻止进一步加密.

弹出窗口的内容 (info.hta):

您的所有文件已被加密!
您的所有文件已被加密,由于用你的电脑安全问题. 如果你想恢复它们, 写信给我们的电子邮件: kryzikrut@airmail.cc及该E-mail:kokux@tutanota.com
在您的消息1E857D00-2718的标题写这个ID
我们的运营商是信使报文可用: hxxps://telegram.org/. 找到我们, 信使搜索框中输入别名@hpdec.
您可以在支持decrypt_here@xmpp.jp的安装Jabber客户端,并写信给我们
你必须支付的比特币解密. 价格取决于你写信给我们的速度有多快. 付款后,我们会送你的工具,将解密您的所有文件.
免费解密作担保
付款前,你可以给我们最多 5 免费解密文件. 文件的总大小必须小于4Mb的 (非归档), 和文件不应该包含有价值的信息. (数据库,备份, 大型Excel表, 等等)
如何获取比特币
买比特币的最简单方法是LocalBitcoins网站. 你必须注册, 点击“购买比特币”, 并选择通过支付方式和价格卖家.
hxxps://localbitcoins.com/buy_bitcoins
你还可以找到其他地方买比特币和初学者莅临指导:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意!

不要重命名加密的文件.
不要试图解密使用第三方软件数据, 它可能会造成永久性的数据丢失.
与第三方的帮助文件的解密可能会导致价格上涨 (他们在费用添加到我们的) 或者你也可以成为一个骗局的受害者.
Jabber客户端安装说明:
下载叽里咕噜 (洋泾浜) 从hxxps客户端://pidgin.im/download/windows/
安装后, 洋泾浜的客户端会提示你创建一个新帐户.
点击“添加”
在“协议”字段, 选择XMPP
在“用户名” - 拿出任何名称
在现场“域” - 输入任何的Jabber服务器, 有很多人, 例如 - exploit.im
创建一个密码
在底部, 上勾号“创建帐户”
点击添加
如果您选择“域” - exploit.im, 然后一个新的窗口应该出现在您将需要重新输入您的数据:
用户
密码
您将需要遵循的链接验证码 (在那里你会看到的字符,你需要在下面的字段中输入)
如果你不明白我们的洋泾浜的客户端安装说明, 你可以在YouTube上找到许多安装教程 - hxxps://www.youtube.com/results?SEARCH_QUERY =皮钦+闲聊+安装

除去杜瓦勒索

info.txt赎金笔记的内容:

!!!您的所有文件进行加密!!!
要解密他们发送电子邮件到这个地址: kryzikrut@airmail.cc这: kokux@tutanota.com
为了便于沟通, 您可以安装信使报.
信使网站hxxps://telegram.org/
找到我们, 信使搜索框中输入别名@hpdec.
叽里咕噜: decrypt_here@xmpp.jp

我们强烈建议不符合他们的要求,因为没有担保,当交易发生了,你会得到你的文件. 反之, 有一种被欺骗的高风险,只是一无所有. 当然, 他们声称相反, 它理应不符合它们的利益来欺骗你. 为你自己想想, 他们为什么要送你的关键, 如果他们已经收到您的赎金? 解决问题的唯一可靠的方法是使用相应的软件从系统中删除杜瓦勒索,以从备份阻止病毒的恶意行为,然后恢复你的数据.

杜瓦的截图加密的文件:

杜瓦加密的文件

在感染阶段的最后阶段, 这种勒索可能会删除计算机上的所有卷影. 之后, 你将不能够进行标准程序使用这些体积阴影中恢复您的加密数据. 有两种解决方案,以去除杜瓦勒索和解密文件. 第一种方法是使用自动拆卸工具. 这种方法对于没有经验的用户甚至适合,因为删除工具可以删除病毒的所有实例只需点击几下. 第二是使用手动删除指南. 这是一个比较复杂的方式需要特殊计算机技能.

如何杜瓦勒索得到我的电脑上?

网络犯罪分子使用各种技术来实现病毒到目标计算机. 勒索病毒可以渗透到受害者的电脑不止在一个或两个方面, 在多数情况下, cryptoviral勒索攻击与以下方法的帮助下进行:

如何删除杜瓦勒索?

之前,去除病毒的继续, 您将需要重新启动系统 Safe Mode with Networking 然后下载杀毒软件,可以消除杜瓦勒索和所有相关文件.

对于Windows XP / Vista / 7的用户:

重新启动计算机,在系统启动前命中 F8 几次. 这将阻止加载系统会显示 高级启动选项 屏幕. 选择 安全模式跟网 从选项的列表中 使用在你的电脑上下箭头 Enter.

带网络安全模式

为Windows 8/10 用户:

  1. 点击 开始 的按键, 然后选择 设置
  2. 点击 更新 & 安全, 然后选择 Recovery 并点击 现在重启.
  3. 您的设备重新启动后, 去 疑难解答 > 高级选项 >启动设置 > 重新开始
  4. 带网络安全模式

  5. 电脑重新启动后, 您应该按 F5 关键 启用带网络连接的安全模式.

之后,系统在加载 Safe Mode with Networking, 启动Internet浏览器和下载 一个可靠的反恶意软件程序 并启动一个全面的系统扫描. 一旦扫描完成了, 查看扫描的结果,并删除所有检测的条目.

推荐的解决方案:

试试诺顿

Norton是强大的清除工具. 它可以检测和删除的新型病毒的所有实例, 弹出窗口, 勒索软件或木马.

诺顿下载

对于Windows

之后,病毒完全从系统中删除, 你就可以开始恢复文件的过程.

如何解密杜瓦勒索感染的文件?

最令人遗憾的是, 有没有免费的解密工具,将能够通过任何火卫一勒索变种加密解密文件. 所有下面列出的方法不能保证完全的文件恢复. 虽然, 由于缺乏其他方面比支付赎金, 我们建议您执行它们, 也许他们会帮助至少部分地恢复你的数据.


方法 1. 与恢复工具的帮助下恢复文件

恒星数据恢复如果您的PC已经被攻击的勒索, 您可以通过使用文件恢复软件恢复文件. 恒星数据恢复是可以恢复丢失和损坏的文件的最有效的工具之一 - 文件, 电子邮件, 图片, 视频, 音频文件, 等等 - 任何Windows设备上. 强大的扫描引擎可以检测受损文件,最后它们保存到指定的目的地. 尽管它的先进性, 这是很简洁简单,所以,即使是最没有经验的用户可以计算出来.

下载恒星数据恢复
  1. 开动 恒星数据恢复.
  2. 选择文件类型要恢复和点击 下一个.
  3. 恒星数据恢复

  4. 选择您的文件和日期您想恢复驱动器和文件夹 扫描.
  5. 恒星数据恢复

  6. 一旦扫描过程完成, 点击 恢复 恢复文件.
  7. 恒星数据恢复

  8. 在这之后, 选择一个目标,然后单击 启动节能 保存恢复数据.
  9. 恒星数据恢复

由于新的勒索型病毒几乎每天都会出现, 没有技术的可能性发出对每种病毒解密. 在这种情况下, 恢复工具来救援. 尽管这是在没有解密的最有效的方法之一, 这不是这样 100 %,而不是唯一的方式.



      方法 2. 使用恢复系统

      虽然杜瓦勒索的最新版本可以删除系统还原文件, 这种方法可以帮助你恢复部分文件. 尝试使用标准的还原系统恢复你的数据.. 整个过程优选在执行 带命令行提示的安全模式:

      对于Windows XP / Vista / 7的用户:

      重新启动计算机,系统启动之前 - 命中 F8 几次. 这将阻止加载系统会显示 高级启动选项 屏幕. 选择 安全模式带命令行提示 从选项的列表中 使用在你的电脑上下箭头 Enter.

      带网络安全模式

      为Windows 8/10 用户:

      1. 点击 开始 的按键, 然后选择 设置
      2. 点击 更新 & 安全, 然后选择 Recovery 并点击 现在重启.
      3. 您的设备重新启动后, 去 疑难解答 > 高级选项 >启动设置 > 重新开始
      4. 安全模式带命令行提示

      5. 电脑重新启动后, 您应该按 F5 关键 启用带命令行提示的安全模式.

      之后,系统在加载 带命令行提示的安全模式, 做以下:

      1. 在命令提示符窗口, 类型 CD恢复 和打 Enter.
      2. 系统还原

      3. 然后输入 rstrui.exe 和打 Enter 再次.
      4. 系统还原

      5. 一旦一个新的窗口显示出来, 点击 下一个.
      6. 系统还原

      7. 选择感染出现之前的日期,然后点击 下一个 再次
      8. 系统还原

      9. 在打开的弹出窗口, 点击 要启动系统还原.
      10. 系统还原


      方法 4. 滚动文件,回到以前的版本

      以前的版本可以是Windows备份创建的文件的副本和文件夹 (如果是积极的) 或者通过系统还原创建的文件和文件夹的副本. 您可以使用此功能来恢复你意外修改或删除的文件和文件夹, 或受损. 此功能可在Windows 7 或更旧版本.

      windows以前的版本

      1. 点击ecrypted文件,并选择 属性
      2. 打开 以前的版本 tab
      3. 选择最新的版本,然后点击 复制
      4. 点击 恢复

      如何防止勒索系统?

      没有人是安全的感染与秘密加密你的数据的病毒. 但为了尽量减少这种风险, 你需要遵循的规则:

      1. 时间总是让Windows更新并保持最新. 请记住,这些更新关闭,通过该病毒可以进入您的计算机系统中的安全漏洞.

      2. 为了避免数据丢失最有效的方法当然是让所有的重要数据进行备份从您的计算机. 这是滥竽充数必要的文件夹与云服务同步一个, 以免害怕看到需要的解密密钥交换支付比特币的文本. 它可以是一个云或网络上的一个远程的硬盘驱动器. 如果您将所有文件存储在互联网上, 病毒感染的可能性会更低. 不要复制到外部硬盘驱动器, 因为这可能会损害他们.

      3. 由于垃圾邮件是传播勒索型病毒的最普遍的形式, 用户时,应首先从不打开电子邮件附件具有防病毒扫描他们. 只需点击链接或打开附件可能破坏操作系统 (Windows) 几分钟, 破坏重要数据和感染其他机器有病毒.

      4. 所有以前的方法不问题,如果你没有一个可靠的杀毒. 在您的计算机上的反病毒保护的存在,可以防止所有这些不愉快的意外. 反病毒保护会保护你免受恶意软件, 金钱上的损失, 时间上的损失, 你的个人生活的侵犯. 现在杀毒市场是如此巨大,这是很难做出选择支持其中之一的. 如果你还没有决定谁优先考虑, 我们建议您与我们熟悉 最佳 5 防病毒软件的Windows

      留下评论

      时限用尽. 请刷新验证码.