CDXX病毒, STOP/Djvu 勒索軟體家族的變種, 因其廣泛分佈而臭名昭著. 該惡意軟體針對 Windows PC, 將檔案加密為 CDXX 格式並附加勒索訊息 (自述文件.txt) 到每個包含加密檔案的資料夾. 其複雜的加密技術使得透過傳統方式恢復文件具有挑戰性, 使其成為網路安全領域最可怕的威脅之一.
在這篇文章中, 我將解釋發生的情況並向您展示如何從您的電腦中刪除 CDXX 惡意軟體. 另外, 勒索軟體攻擊後您將看到多種檔案復原方法.
什麼是 CDXX 病毒?
CDXX 勒索軟體是一個 針對使用者檔案的惡意軟體 並用強密碼加密 (莎莎20), 禁用防毒工具, 並刪除備份. 每個文件 – Word文檔, Excel表格, 或照片 – 將收到 CDXX 檔案副檔名. 因此, 文件 “照片.jpg” 會變成 “照片.jpg.cdxx”. 然後, 它會產生一張名為的勒索信 _自述文件.txt 並將其添加到桌面上每個包含加密文件的資料夾中. 關於這一點, 您將看到有關惡意事件的訊息以及支付贖金的說明. 看起來像這樣:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-iVcrVFVRqu
Price of private key and decrypt software is $9999.
Discount 50% available if you contact us first 72 hours, that's price for you is $4999.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
support@freshingmail.top
Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc
Your personal ID:
CDXX 勒索軟體 與大多數其他 STOP/Djvu 勒索軟體範例具有相同的習慣. 這家人出現在 2018 並佔 超過 70% 在所有勒索軟體攻擊中 對個人. 它是該行業的潮流引領者,具有一系列典型的功能 任何其他勒索軟體組織 攻擊個人用戶. 贖金金額, 通知方式, 為避免備份使用而採取的預防措施 – 所有這些東西現在到處都是一樣的. 但它們最初的出現要歸功於 Djvu 勒索軟體.
我是如何取得 CDXX 惡意軟體的?
絕大多數攻擊單一使用者的惡意軟體都選擇相同的傳播策略. STOP/Djvu 勒索軟體, 特別是 CDXX 變異體, 不是排除. 最常見的傳播方式是不同的軟體破解, 未經許可的程序, 以及來自網路的可疑工具. 尤其, 他們採用創建一次性網站的策略,在其中發布當前流行的內容. 新漫威電影, 新遊戲, 或適用於 Windows 的工具 11 啟用設定 – 這種假人的基礎每天都會出現. 搜尋垃圾郵件技術可提高此頁面的搜尋結果, 使其成為相關請求中最受歡迎的. 直接下載或 torrent 下載的連結包含同一網站上的有效負載.
分發此勒索軟體的網路犯罪分子最初會注入下載器惡意軟體, 它是進一步惡意軟體的前身. 它 停用安全機制 這可能會阻止勒索軟體或使感染系統變得困難. 停用 Windows Defender, 應用某些網路更改, 並調整集團政策. 最後一個操作是限製程式安裝檔的執行, 一般來說 – 防毒解決方案.
CDXX病毒加密過程
勒索軟體注入下載器後繼續改變系統. 尤其, CDXX 勒索軟體停用最受歡迎的備份方法 (陰影副本和 OneDrive 備份). 它阻止訪問某些受害者可以找到解決方案的網站. 在那之後, 勒索軟體啟動加密過程. 根據洩漏的STOP/Djvu樣本代碼, 它執行加密 一步一步地. 第一的, 勒索軟體掃描您磁碟上的資料夾. 如果它偵測到可以加密的文件, 它連接到伺服器, 要求提供加密金鑰, 並開始加密. 當過程結束時, 它返回掃描過程.
CDXX勒索軟體所使用的加密機制 是 AES-256. 許多安全技術都選擇該標準. 例如, 透過 HTTPS 連線連接到網站時,您的流量將使用該密碼進行加密. 這還不是最強的, 但你無法在現代電腦上解密它. 在連接到該勒索軟體使用的伺服器階段進行端對端加密, 無法截獲解密金鑰. 儘管如此, 這並不意味著您無法取回文件.
CDXX勒索病毒完成最後一部分加密. 它應用了更多的操作來提供更大的持久性. 原始可執行檔被克隆到 遠離典型目錄 由惡意軟體選擇. Temp 或 ProgramFiles 目錄 即使是最簡單的防毒軟體也會檢查, 因此勒索軟體將其文件放在更深和不太熟悉的地方.
如何刪除 CDXX 並保護自己免受勒索軟體侵害?
勒索軟體是最複雜的惡意軟體類型之一. 很難檢測到, 並且必須以最大的努力執行刪除過程. CDXX病毒 以阻止安全程序的可執行檔啟動而聞名. 這種阻止不是主動的,而是基於加密之前所做的更改. 因此, 您必須繞過此障礙並在勒索軟體被刪除後修復它. 在採取任何其他行動之前清除病毒至關重要 – 否則, 勒索軟體將恢復您的更改.
為此目的最好的惡意軟體移除軟體是 Loaris Trojan Remover. 該應用程式可以從您的電腦中刪除勒索軟體威脅並在攻擊後修復系統. 它具有先進的掃描機制,由三個不同的模組組成,可以檢測任何形式的勒索軟體. 另外, 你將能夠檢查所有可疑的地方 具有自訂掃描功能 – 它會在一分鐘內掃描指定目錄.
值得一提的是,規避阻止執行檔啟動的勒索軟體需要啟動 進入有網路的安全模式. 您可以在啟動前或啟動後下載安裝程序 – 那根本不重要.
將您的電腦啟動到安全模式, 您必須打開故障排除面板. 按Win→電源, 然後按住 Shift 鍵的同時點擊重新啟動按鈕. 在那之後, 您將看到故障排除螢幕. 去 啟動設定 → Windows 10 有網路的安全模式. 按 Enter 並等待系統加載.
Windows 中的安全性模式 假設系統載入時沒有某些模組, 尤其 – 啟動程序和群組原則的一部分. 此模式很方便刪除惡意軟體,因為它可以防止啟動未列為系統的程序,並消除了惡意軟體實施的大部分限制.
使用 Loaris Trojan Remover 移除勒索軟體
當您的電腦啟動進入安全模式時, 啟動 Loaris 安裝文件 並等待程式安裝完畢. 可能需要幾分鐘. 在那之後, 該計劃將為您提供 啟動免費試用. 建議執行此操作,因為它允許您使用特洛伊木馬刪除程式的全部功能. 只需輸入您的電子郵件地址即可收到免費試用代碼.
試用版啟用後, 啟動全面掃描. 它可能會持續 為了 20-30 分分鐘, 所以保持耐心. 在此操作期間您可以不受任何限制地使用您的計算機.
掃描後, 您將看到偵測到的威脅列表. 預設情況下, 該程序為每次檢測指定合適的操作. 尤其, 對於 CDXX 病毒, 這是一個移除. 然而, 如果您認為某些偵測到的項目可能需要不同的操作,您可以透過點擊偵測右側的標籤來管理這些操作.
如何解密 CDXX 文件?
那是 你能做的不多 如果一切正常的話,檔案會被 CDXX 勒索軟體加密. 該惡意軟體假設使用兩種密鑰類型 – 線上線下. 前者是主要的, 大多數情況下都會使用它. 它包括 256 符號對每個受害者來說都是獨一無二的. CDXX病毒 從命令伺服器接收它 每次它嘗試加密檔案系統中的另一個資料夾時. 然而, 當無法連接到伺服器時 – 因為它已關閉或有連接問題 – 文件使用離線密鑰加密. 每個變體的離線密鑰始終是單一的, 這樣所有使用離線金鑰加密檔案的受害者都可以被儲存.
Emsisoft 提供了在 STOP/Djvu 攻擊後解密檔案的工具. 開發者團隊收集洩漏的線下和線上密鑰. 這是 100% 免費使用 由於公司是在自願的基礎上採取這一行動的.
使用 Emsisoft Decryptor for STOP Djvu 解密您的文件
下載並安裝 Emsisoft STOP Djvu 解密器 來自開發商的網站. 然後, 打開應用程式並進行一些初步設置. 您需要指定儲存加密檔案的資料夾. 然後, 您可以按“解密”並觀察結果.
解密過程中, 您可以觀看節目中的某些訊息. 讓我們來看看它們:
-
☞ 無法解析遠端名稱
此訊息代表解析 Emsisoft 伺服器時發生錯誤’ 域名系統. 由於該程式沒有攜帶密鑰資料庫並從雲端接收它, 它需要穩定的互聯網連接. 如果出現此錯誤, 嘗試 重設您的 HOSTS 文件 然後再試一次.
-
☞ New Variant 線上 ID 沒有金鑰: [你的身分證]
注意: 這是一個線上 ID. 解密是不可能的.
最壞的情況 – 您已使用線上金鑰對文件進行加密. 每個受害者都是獨一無二的. 因此您無法使用 Emsisoft 工具解密文件.
-
☞ 新變體離線 ID 沒有金鑰: [範例 ID]
該ID似乎是離線ID. 所以, 未來可能有可能解密.
此訊息的腳註解釋了很多. 您很幸運,因為您的檔案已使用離線 ID 進行加密, 但你的案件的鑰匙還沒有洩露. 保持耐心並等待. 鑰匙可能會在幾週後出現.
-
☞ 錯誤: 無法用 ID 解密文件: [你的身分證]
該訊息意味著 Emsisoft 程式無法找到您的案例對應的金鑰. 仍然, 這還不是最糟的情況 – 未來可能還會出現.
使用文件復原工具找回文件
我上面描述的解密器 不是唯一的選擇 用於恢復文件. 由於勒索軟體在加密過程中採用了特定的演算法, , 是可以恢復的 使用文件恢復工具恢復文件. 我會推薦 PhoroRec 作為一個免費且有效的解決方案.
STOP/Djvu 勒索軟體 不加密確切的文件. 它複製原始文檔, 對其進行加密, 然後刪除原始文件並用加密副本替換. 同時, 文件存儲技術允許從磁碟恢復已刪除的文件. 從作業系統中刪除檔案通常意味著從檔案系統中刪除有關檔案在磁碟上的位置的信息. 同時, 磁碟仍然保留檔案的殘留 – 直到對應區域不會被另一個區域填滿為止, 由檔案系統驗證.
PhotoRec 是搜尋這些殘留檔案部分並恢復它們的工具. 它可以挖掘出您之前刪除的其餘文件, 但最好找回重要數據並刪除多餘的文件. 讓我們來看看如何正確使用.
使用 PhotoRec 恢復 .CDXX 文件
下載照片記錄 來自官方網站. 它是免費的,並與該開發商的其他工具一起傳播 – 測試磁碟. 因為它是便攜式的, 你不需要安裝它 – 只是 解壓縮下載的存檔 並打開資料夾. 在裡面, 找到 qphotorec_win.exe 檔案並啟動它.
節目中, 您必須在每次磁碟掃描之前進行設置. 第一的, 從視窗上部的下拉式選單中選擇要掃描的磁碟或分割區. 然後, 您需要指定恢復檔案的資料夾. 建議將所有復原的檔案轉儲到 USB 隨身碟. 最後, 您需要指定要復原的檔案格式. PhotoRec 恢復 超過 400 不同的格式, 但選擇全部將顯著增加掃描時間. 建議僅選擇您需要的文件類型.
經常問的問題
🤔如何解密線上勒索軟體ID?
很遺憾, 無法以常規方式解密線上 ID. CDXX勒索軟體的加密手段太強硬; 用現代電腦解密它需要數百萬年. 在線上 ID 的情況下找回文件的最有希望的方法是使用文件恢復工具, 如上圖.
🤔我該為勒索軟體付費嗎?
它可能看起來是一個顯而易見的解決方案, 但這是個壞主意. 第一的, 透過支付贖金, 你自動贊助了騙子, 他們的活動, 以及他們將收到的錢的設備 (通常是類似的非法活動). 另一個問題是勒索軟體運營商並不總是誠實的,可能會要求您再次付費才能獲得解密金鑰. 從法律角度來說, 你很清楚, 但有足夠的道德原則可以突破.
🤔如何防範勒索軟體?
勒索軟體是一種非常狡猾的惡意軟體, 所以預防方法, 以及恢復攻擊的方法, 也必須應用. 大多數攻擊是透過虛假網站發生的, 被駭客入侵的程式或電影攝影機傳播的地方. 在一些罕見的情況下, 騙子透過在各種論壇或聊天中提供惡意檔案來傳播勒索軟體. 切斷這些來源, IE。, 避免這些文件, 是將勒索軟體危害降低幾個數量級的最佳方法.
處理勒索軟體攻擊的後果也必須成為一個關注點. 定期備份資料將解決攻擊後資料可存取性的問題. 使用特殊軟體在每個工作日後將資料同步到雲端儲存將減少備份的時間延遲. 同時, 標準備份方法, 例如 OneDrive 或卷影副本, 無效,因為勒索軟體甚至在加密之前就禁用了它們.
🤔Loaris 能夠解密 CDXX 檔案嗎?
Loaris Trojan Remover 只能刪除 CDXX 勒索軟體並在攻擊後修復您的 PC. 它不是解密工具,也沒有任何恢復加密過程的功能. 嘗試解密文件, 使用提供的解密工具.
🤔CDXX 檔案危險嗎?
它們與您過去在磁碟上看到的檔案相同. 勒索軟體唯一改變的是檔案頭的加密, 其中包含了檔案系統識別和讀取的關鍵訊息. 全面的, 他們沒有被感染, 就像電腦病毒攻擊的情況一樣 – 他們剛剛收到惡意更改. 您可以將它們保留在磁碟上,而不必擔心您的 PC 安全.