北京用友北京用友

您所在的位置:首页 -> 常见问题 -> 中了勒索病毒怎么办
WECANHELP勒索病毒处理的成功经验分享
浏览:3606次 评论:0条 发表日期:2019-11-04 21:29:14作者:
Tags:
截至2019年11月04日,陆续接到多个客户反馈,其服务器中毒了,后缀为WECANHELP。通过长时间的分析,协助客户处理,现在总结如下:

WECANHELP勒索软件 介绍

最近,恶意软件研究人员发现了一种新的数据锁定特洛伊木马,该木马正在Internet上传播。它的名字叫WECANHELP Ransomware,一经解剖,发现该威胁是Cry36 Ransomware和Nemesis Ransomware的变种。


传播和加密

网络安全专家尚未能够完全确定在WECANHELP Ransomware的传播中应用了哪些感染媒介。 WECANHELP Ransomware的创建者所使用的传播方法很可能是包含宏链接附件,伪造的应用程序更新以及盗版的流行软件工具的垃圾邮件。无论WECANHELP Ransomware如何渗透到您的系统上,一旦渗透进系统,其首要任务就是执行快速扫描。进行扫描以确定文件的位置,将WECANHELP Ransomware编程为目标文件。接下来开始加密过程。当WECANHELP Ransomware加密文件时,它也会更改其名称。这种勒索软件威胁会添加一个'.id_ _。文件名末尾的WECANHELP'扩展名。

赎金记录

下一步是删除赎金票据。 WECANHELP勒索软件的注释名为“ _RESTORE FILES_.txt”。在说明中,攻击者给出了三个可以联系到他们的电子邮件地址-“ wecanhelpyou@elude.in”,“ w3canh3lpy0u@cock.li”和“ wecanh3lpyou2@cock.li”。对于可能更喜欢与Jabber交谈的用户,他们提供了联系方式–“ icanhelp@xmpp.jp”。这种威胁的作者没有提及特定的赎金费用,但明确表示他们希望它采用比特币的形式。在说明中,攻击者还要求受害者购买“ Nemesis Decryptor”工具。

与网络犯罪分子(例如负责WECANHELP Ransomware的负责人)联系从来都不是一个好主意。一种更安全的方法是下载并安装信誉良好的防病毒套件,并从系统中删除WECANHELP Ransomware。然后,您可以尝试通过第三方数据恢复工具恢复某些丢失的文件。
 

附勒索软件的说明文件原文:

 


  1. 		*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
  2. To decrypt your files you need to buy the special software ?"Nemesis decryptor"
  3. You can find out the details/buy decryptor + key/ask questions by email: wecanhelpyou@elude.in, w3canh3lpy0u@cock.li OR wecanh3lpyou2@cock.li
  4. IMPORTANT!
  5. DON'T TRY TO RESTORE YOU FILES BY YOUR SELF, YOU CAN DAMAGE FILES!
  6. If within 24 hours you did not receive an answer by email, be sure to write to Jabber: icanhelp@xmpp.jp
  7. Your personal ID: 123******456
  8. 上述内容大意:
  9. 你的所有个人和工作文件都被加密,想要解密的话你需要购买名为复仇女神的解密工具。你可以通过下面这几个邮箱与我们联系。
  10. 重要!不要试图自己恢复文件,否则你会破坏文件。如果你在发信24小时后还未收到回复请联系这个邮箱。
  11. 你的个人ID是XXXXX


目前针对这种病毒的处理方式,有以下三种方式:

第一种:如果您最重要的数据sql数据库,例如用友软件、金蝶软件等ERP系统,最核心的数据是MDF的数据库,针对这种数据的处理,我们基本对该数据修复后达到95%以上的完整,通过个数的技术分析,大部分可以达到100%的完美还原。

第二种:尝试第三方解密工具,但是必须要在原电脑上找到temp000000.txt的密钥工具,再联系我们完美解密

第三种:如果您对数据要求100%完美还原,第二种方式也找不到temp000000.txt,后者找到的文件是空白,只能尝试联系交赎金,这种是最不推荐的方式,首先要确认您的文件没有被多次破坏。

我们的联系方式:18910108696  微信同号  qq群:183652812

上一篇中了YOUR_LAST_CHANCE勒索病毒如..
下一篇用友服务器中了勒索病毒Hades865..

最新文章

用友U8软件注册不成功的解决方案
登录T3提示【T3标准版已停止工作】
T6销售订单滤设增加表体自定义项增加不上
凭证也有特殊符号显示问题
用友u8软件无法进行模糊匹配查询-用友U8
用友U8销售发货单在后台数据库的表名是什么?
最新图文教程

北京用友远程维护收

登录T3提示【T3标准

T+12.3往来期间对账

用友U8+系统管理初始

服务器中了venolockd

T3运行时错误70,拒

T3软件提示登录失败

进入用友通T3固定资

热门文章

[09-15]
[10-08]
[10-26]
[10-15]
[05-13]
[09-18]

推荐文章

相关文章

在线咨询
售后支持
  • 业务电话:010-84986180
  • 13720089039
  • 夜间值班:18910108696
  • 北京会计QQ群:6388368