1.vssadmin.exe 工具以试图删除卷影副本,以确保有没有办法恢复被加密的文件。
* vssadmin.exe Delete Shadows /All /Quiet
2.还试图通过将以下两个注册表值设置为 0,以禁用 Internet Explorer 仿冒网站筛选:
键:
* HKCU\Software\Microsoft\InternetExplorer\PhishingFilter
值:
* EnabledV8
* EnabledV9
3.文件加密,它加密用户计算机中找到的特定类型的文件。
遍历目录查找特定文件
4.赎金支付
* 所有主流的变种采取用比特币付款。
网友评论