北京用友北京用友

您所在的位置:首页 -> 常见问题 -> 中了勒索病毒怎么办
WECANHELP勒索病毒处理的成功经验分享
浏览:1969次 评论:0条 发表日期:2019-11-04 21:29:14作者:
Tags:
截至2019年11月04日,陆续接到多个客户反馈,其服务器中毒了,后缀为WECANHELP。通过长时间的分析,协助客户处理,现在总结如下:

WECANHELP勒索软件 介绍

最近,恶意软件研究人员发现了一种新的数据锁定特洛伊木马,该木马正在Internet上传播。它的名字叫WECANHELP Ransomware,一经解剖,发现该威胁是Cry36 Ransomware和Nemesis Ransomware的变种。


传播和加密

网络安全专家尚未能够完全确定在WECANHELP Ransomware的传播中应用了哪些感染媒介。 WECANHELP Ransomware的创建者所使用的传播方法很可能是包含宏链接附件,伪造的应用程序更新以及盗版的流行软件工具的垃圾邮件。无论WECANHELP Ransomware如何渗透到您的系统上,一旦渗透进系统,其首要任务就是执行快速扫描。进行扫描以确定文件的位置,将WECANHELP Ransomware编程为目标文件。接下来开始加密过程。当WECANHELP Ransomware加密文件时,它也会更改其名称。这种勒索软件威胁会添加一个'.id_ _。文件名末尾的WECANHELP'扩展名。

赎金记录

下一步是删除赎金票据。 WECANHELP勒索软件的注释名为“ _RESTORE FILES_.txt”。在说明中,攻击者给出了三个可以联系到他们的电子邮件地址-“ wecanhelpyou@elude.in”,“ w3canh3lpy0u@cock.li”和“ wecanh3lpyou2@cock.li”。对于可能更喜欢与Jabber交谈的用户,他们提供了联系方式–“ icanhelp@xmpp.jp”。这种威胁的作者没有提及特定的赎金费用,但明确表示他们希望它采用比特币的形式。在说明中,攻击者还要求受害者购买“ Nemesis Decryptor”工具。

与网络犯罪分子(例如负责WECANHELP Ransomware的负责人)联系从来都不是一个好主意。一种更安全的方法是下载并安装信誉良好的防病毒套件,并从系统中删除WECANHELP Ransomware。然后,您可以尝试通过第三方数据恢复工具恢复某些丢失的文件。
 

附勒索软件的说明文件原文:

 


  1. 		*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
  2. To decrypt your files you need to buy the special software ?"Nemesis decryptor"
  3. You can find out the details/buy decryptor + key/ask questions by email: wecanhelpyou@elude.in, w3canh3lpy0u@cock.li OR wecanh3lpyou2@cock.li
  4. IMPORTANT!
  5. DON'T TRY TO RESTORE YOU FILES BY YOUR SELF, YOU CAN DAMAGE FILES!
  6. If within 24 hours you did not receive an answer by email, be sure to write to Jabber: icanhelp@xmpp.jp
  7. Your personal ID: 123******456
  8. 上述内容大意:
  9. 你的所有个人和工作文件都被加密,想要解密的话你需要购买名为复仇女神的解密工具。你可以通过下面这几个邮箱与我们联系。
  10. 重要!不要试图自己恢复文件,否则你会破坏文件。如果你在发信24小时后还未收到回复请联系这个邮箱。
  11. 你的个人ID是XXXXX


目前针对这种病毒的处理方式,有以下三种方式:

第一种:如果您最重要的数据sql数据库,例如用友软件、金蝶软件等ERP系统,最核心的数据是MDF的数据库,针对这种数据的处理,我们基本对该数据修复后达到95%以上的完整,通过个数的技术分析,大部分可以达到100%的完美还原。

第二种:尝试第三方解密工具,但是必须要在原电脑上找到temp000000.txt的密钥工具,再联系我们完美解密

第三种:如果您对数据要求100%完美还原,第二种方式也找不到temp000000.txt,后者找到的文件是空白,只能尝试联系交赎金,这种是最不推荐的方式,首先要确认您的文件没有被多次破坏。

我们的联系方式:18910108696  微信同号  qq群:183652812

上一篇中了YOUR_LAST_CHANCE勒索病毒如..
下一篇用友服务器中了勒索病毒Hades865..

最新文章

用友T3软件打开运行时错误70’:拒绝的权限
用友U8v12.5如何启用新的功能模块
收藏:用友操作流程大全
用友T3软件如何设置现金流量
用友U8填制了凭证,但是在余额表中不显示
忘记SA口令,如果不想修改密码如何找回SA呢
最新图文教程

北京用友远程维护收

用友服务器中了.[squ

用友T3软件打开运行

用友U8v12.5如何启用

忘记SA口令,如果不

用友软件打印凭证提

用友T3标准版已停止

T3和系统管理图标变

热门文章

[10-26]
[10-08]
[09-15]
[04-02]
[03-03]
[10-18]

推荐文章

相关文章

在线咨询
售后支持
  • 业务电话:010-84986180
  • 13720089039
  • 夜间值班:18910108696
  • 北京会计QQ群:6388368