WECANHELP勒索软件 介绍

最近，恶意软件研究人员发现了一种新的数据锁定特洛伊木马，该木马正在Internet上传播。它的名字叫WECANHELP Ransomware，一经解剖，发现该威胁是Cry36 Ransomware和Nemesis Ransomware的变种。

传播和加密

网络安全专家尚未能够完全确定在WECANHELP Ransomware的传播中应用了哪些感染媒介。 WECANHELP Ransomware的创建者所使用的传播方法很可能是包含宏链接附件，伪造的应用程序更新以及盗版的流行软件工具的垃圾邮件。无论WECANHELP Ransomware如何渗透到您的系统上，一旦渗透进系统，其首要任务就是执行快速扫描。进行扫描以确定文件的位置，将WECANHELP Ransomware编程为目标文件。接下来开始加密过程。当WECANHELP Ransomware加密文件时，它也会更改其名称。这种勒索软件威胁会添加一个'.id_ _。文件名末尾的WECANHELP'扩展名。

赎金记录

下一步是删除赎金票据。 WECANHELP勒索软件的注释名为“ _RESTORE FILES_.txt”。在说明中，攻击者给出了三个可以联系到他们的电子邮件地址-“ wecanhelpyou@elude.in”，“ w3canh3lpy0u@cock.li”和“ wecanh3lpyou2@cock.li”。对于可能更喜欢与Jabber交谈的用户，他们提供了联系方式–“ icanhelp@xmpp.jp”。这种威胁的作者没有提及特定的赎金费用，但明确表示他们希望它采用比特币的形式。在说明中，攻击者还要求受害者购买“ Nemesis Decryptor”工具。

与网络犯罪分子（例如负责WECANHELP Ransomware的负责人）联系从来都不是一个好主意。一种更安全的方法是下载并安装信誉良好的防病毒套件，并从系统中删除WECANHELP Ransomware。然后，您可以尝试通过第三方数据恢复工具恢复某些丢失的文件。
 

1. 		*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***

2. To decrypt your files you need to buy the special software ?"Nemesis decryptor"
3. You can find out the details/buy decryptor + key/ask questions by email: wecanhelpyou@elude.in, w3canh3lpy0u@cock.li OR wecanh3lpyou2@cock.li
4. IMPORTANT!
5. DON'T TRY TO RESTORE YOU FILES BY YOUR SELF, YOU CAN DAMAGE FILES!
6. If within 24 hours you did not receive an answer by email, be sure to write to Jabber: icanhelp@xmpp.jp
7. Your personal ID: 123******456
8. 上述内容大意：
9. 你的所有个人和工作文件都被加密，想要解密的话你需要购买名为复仇女神的解密工具。你可以通过下面这几个邮箱与我们联系。
10. 重要！不要试图自己恢复文件，否则你会破坏文件。如果你在发信24小时后还未收到回复请联系这个邮箱。
11. 你的个人ID是XXXXX

目前针对这种病毒的处理方式，有以下三种方式：

第一种：如果您最重要的数据sql数据库，例如用友软件、金蝶软件等ERP系统，最核心的数据是MDF的数据库，针对这种数据的处理，我们基本对该数据修复后达到95%以上的完整，通过个数的技术分析，大部分可以达到100%的完美还原。

第二种：尝试第三方解密工具，但是必须要在原电脑上找到temp000000.txt的密钥工具，再联系我们完美解密

第三种：如果您对数据要求100%完美还原，第二种方式也找不到temp000000.txt，后者找到的文件是空白，只能尝试联系交赎金，这种是最不推荐的方式，首先要确认您的文件没有被多次破坏。

我们的联系方式：18910108696  微信同号  qq群：183652812