安全报告表明已经识别出Matrix勒索病毒的新迭代处理具有.ITLOCK扩展名的受害者文件。
我们的文章提供了病毒操作的概述,它也可能有助于尝试删除病毒。
名称Matrix 勒索病毒
类型勒索软件,Cryptovirus
简短的介绍勒索软件通过将后缀.ITLOCK扩展名放在您的计算机系统上来加密文件,并要求支付赎金以据称恢复它们。
症状勒索软件将对您的文件进行加密,并留下带有付款说明的勒索信。
分配方法垃圾邮件,电子邮件附件
后缀.ITLOCK Matrix勒索病毒变种是一种新的自定义变体,源自众所周知的病毒家族。因此,我们假设黑客将使用像以前的迭代一样的典型分发策略。由于发现感染的数量很少,我们假设捕获的样本是测试版本或初始限制版本。
典型的感染将使用旨在模仿用户可能使用的知名Internet站点或服务的网络钓鱼电子邮件。犯罪分子经常使用模板进行密码重置通知,软件更新以及需要某种用户交互的其他消息。恶意文件可以直接附加或链接在正文内容中。
Matrix勒索软件感染也可以通过与以类似方式创建的虚假下载站点进行交互来引起。他们可以冒充知名应用程序的供应商下载页面或使用其他社交工程技术。
矩阵勒索软件应嵌入受感染的有效载荷载体中,其中有两种流行类型:
文档- 有许多示例可用于使用最常见的类型引起感染:电子表格,演示文稿,富文本文档和数据库。打开它们后,受害者用户将看到一个通知框,要求他们启用内置脚本。如果这样做,宏将触发勒索软件部署。
应用程序安装程序- 类似的技术是将病毒代码包含在流行软件的黑客修改的安装文件中。它们使用黑客用来处理孤立病毒文件的相同策略进行分发。
Matrix勒索软件文件及其多种载体形式都可以在各种文件共享网络上传播,如BitTorrent。它们经常用于分发Linux发行版的盗版内容或图像文件。
上传危险的网络浏览器插件(也称为劫持者或重定向)可能会导致大规模感染。它们与最流行的Web浏览器兼容,并上传到各自的存储库。它们伴随着精心设计的描述,承诺增强软件 - 添加新功能或优化现有基础。假冒用户评论和开发人员凭证被用来进一步说服受害者安装它们。完成此操作后,内置代码将重新配置软件以将用户重定向到黑客控制的页面,最重要的设置将被更改:默认主页,新标签页和搜索引擎。在此之后,将部署病毒。
.ITLOCK Matrix勒索软件遵循先前版本使用的典型行为模式。这意味着模块化框架可以根据确切的活动进行微调,以遵循不同的模式。通常,之后运行的第一个模块是数据收集组件。根据其配置,它可以劫持黑客可用于优化攻击的数据 - 有关已安装硬件组件,用户设置和操作系统值的报告。可以提取其他信息,用于揭示受害者的身份通过透露他们的姓名,地址,位置,兴趣和任何存储的帐户凭据。可以收集信息并将其自动发送给操作员,或者在安全的位置存档并在稍后阶段访问。
然后,该数据可由另一个称为隐藏保护的模块处理,该模块可以扫描受害系统以查找可能干扰正确病毒执行的任何安全软件或服务。这通常通过使用签名扫描防病毒引擎,沙箱环境和虚拟机主机来完成。他们的实时引擎可以被绕过或软件被完全删除。
当这两个组件完成执行Matrix勒索软件后,主引擎将完全控制受害者系统。这导致能够进行各种系统修改,包括以下内容:
持久安装- 主引擎可以持久安装。此操作的结果是,一旦用户启动其系统,它将自动启动。此操作可以阻止某些系统进程和用户安装的应用程序正常运行。在某些情况下,这也可能会阻止访问恢复启动菜单。
Windows注册表更改- 可以对Matrix勒索软件样本进行编程,以修改属于用户安装的应用程序和操作系统本身的Windows注册表项。这可能会导致性能显着下降,并使受感染的系统非常不稳定。某些服务或功能可能无法使用。
文件操作- 使用Matrix勒索软件感染最常见的后果之一是删除Shadow Volume Copies和Restore Points,这使得恢复更加困难。
如果配置如此,一些Matrix ranasomware可能会导致特洛伊木马感染。默认行为是恶意引擎下载并执行客户端实例。它将建立与黑客控制的服务器的安全连接。它允许黑客操作员接管对受感染的受害者的控制,窃取他们的文件并监视受害者。
根据黑客配置,可以根据需要添加其他模块。
Matrix勒索软件应变参与典型的加密行为。它将根据目标文件类型扩展的内置列表处理用户数据。示例列表可以定位以下文件类型:
因此,所有受害者文件都将使用.ITLOCK扩展名重命名。将在一个名为!ITLOCK_README!.rtf的文件中创建一个通用的勒索软件,该文件将敲诈受害者,向犯罪分子支付“恢复文件”的费用。实际上,他们会忽略受感染的主机,只需要拿钱。
高级版本还可以导致锁屏部署,这将主动阻止使用计算机的能力,直到完全删除感染。
如果您的计算机系统感染了Matrix勒索软件病毒,您应该有一些删除恶意软件的经验。您应该尽快摆脱这种勒索软件,然后才有机会进一步传播并感染其他计算机。您应该删除勒索软件并按照下面提供的分步说明指南操作。
对于Windows XP,Vista和7系统:
1.删除所有CD和DVD,然后从“开始”菜单重新启动PC 。
2.选择以下两个选项之一:
-对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“F8”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
-对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“F8”。
3.出现“高级启动选项”屏幕时,使用箭头键选择所需的安全模式选项。在进行选择时,按“Enter”。
4.使用管理员帐户登录计算机。当您的计算机处于安全模式时,屏幕的所有四个角都会出现“安全模式” 字样。
5.某些恶意脚本可能会修改计算机上的注册表项以更改不同的设置。这就是建议清理Windows注册表数据库的原因。由于有关如何执行此操作的教程有点长,如果操作不当,可能会损坏您的计算机,您应该参考并遵循修复由恶意病毒软件引起的Windows注册表错误特别是如果您在该领域缺乏经验。
在较旧的Windows操作系统中,传统方法应该是有效的方法:
第1步:单击“开始菜单”图标(通常在左下角),然后选择“搜索”首选项。
第2步:出现搜索窗口后,从搜索助手框中选择“更多高级选项”。另一种方法是单击“所有文件和文件夹”。
第3步:之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置。现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试解密器。
方法3:使用Shadow Explorer
方法4:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
关注服务号,交流更多解密文件方案和恢复方案:
网友评论