什么是 Faust 勒索软件?
Faust是Phobos家族中的一个勒索软件程序。一般来说,勒索软件程序会对受感染计算机上的文件进行加密,目的是要钱才能解密。但这并不是所做的全部。 在加密文件时会重命名文件;具体来说,它在名称中添加了唯一 ID、黑客的电子邮件和 .faust 文件扩展名。它还会留下勒索字条
Faust勒索软件加密的文件截图:
根据我们研究勒索软件感染的丰富经验,我们可以得出结论,如果没有入侵者的干预,解密通常是不可能的。
此外,尽管满足了赎金要求,但受害者通常不会收到承诺的解密工具/软件。因此,我们建议不要付款,从而无意中支持这种犯罪活动。
为防止 Faust 勒索软件加密更多文件 - 必须将其从操作系统中删除。不幸的是,删除不会恢复已经受影响的数据。唯一的解决办法是从备份中恢复它(如果有的话)。
因此,强烈建议将备份保存在多个独立的位置(例如,拔出的存储设备、远程服务器等),以确保数据安全。
勒索软件示例
我们已经分析了数以千计的勒索软件类型的程序; Fate、 Fatp、 ZEUSSEC1337、 Eyedocx和 D0ggerofficial只是一些示例。该软件通常始终运行相同;然而,这些程序之间有两个主要区别——它们使用的加密算法(对称或非对称)和赎金大小。
勒索软件是如何感染我的电脑的?
恶意软件(包括勒索软件)使用网络钓鱼和社会工程策略激增。恶意程序通常伪装成普通软件/媒体或与普通软件/媒体捆绑在一起。
恶意文件可以是压缩文件(RAR、ZIP 等)、可执行文件(.exe、.run 等)、Microsoft Office和 PDF 文档、JavaScript 等。当执行、运行或以其他方式打开恶意文件时,感染链就会启动。
最常见的恶意软件扩散方法包括:路过式(隐蔽/欺骗性)下载、可疑下载源(例如,非官方和免费软件网站、点对点共享网络等)、在线诈骗、恶意附件/链接存在于垃圾邮件和消息、非法程序激活工具入侵和虚假更新。
如何保护自己免受勒索软件感染?
我们强烈建议谨慎处理传入的电子邮件和消息。可疑/无关邮件中的附件和链接 - 不得打开,因为它们可能是恶意的并导致系统感染。此外,浏览时务必小心,因为欺诈和危险内容通常看起来合法/无害。
我们还建议仅从官方和经过验证的渠道下载。此外,所有程序都必须使用正版开发人员提供的工具来激活和更新,因为非法激活工具入侵和虚假更新可能包含恶意软件。
安装信誉良好的杀毒软件并保持最新状态对于设备/用户安全至关重要。必须使用安全软件来运行定期系统扫描并删除检测到的威胁和问题。如果您的计算机已经感染了 Faust,我们建议使用适用于 Windows 的 Combo Cleaner Antivirus运行扫描以自动消除此勒索软件。
Faust 勒索软件弹窗截图(“ info.hta ”):
此弹出窗口中显示的文本:
Faust 文本文件(“ info.txt ”)截图:
此文件中显示的文本:
!!!您的所有文件都已加密!!!
要解密它们,请发送电子邮件至此地址:[email protected]。
如果我们未在 24 小时内回复,请发送电子邮件至此地址:[email protected]勒索软件感染的情况下应采取哪些步骤:
隔离受感染的设备:
一些勒索软件类型的感染旨在加密外部存储设备中的文件,感染它们,甚至传播到整个本地网络。因此,尽快隔离被感染的设备(计算机)非常重要。
第 1 步:断开互联网连接。
断开计算机与互联网连接的最简单方法是从主板上拔下以太网电缆,但是,某些设备是通过无线网络连接的,对于某些用户(尤其是那些不是特别精通技术的用户)来说,断开电缆可能看起来麻烦。因此,您也可以通过控制面板手动断开系统:
进入“控制面板”,点击屏幕右上角的搜索栏,进入“网络和共享中心”,选择搜索结果:
点击窗口左上角的“更改适配器设置”选项:
右键单击每个连接点并选择“禁用”。一旦禁用,系统将不再连接到互联网。要重新启用连接点,只需再次右键单击并选择“启用”。
第 2 步:拔下所有存储设备。
如上所述,勒索软件可能会加密数据并入侵到连接到计算机的所有存储设备。因此,应立即断开所有外部存储设备(闪存驱动器、移动硬盘等)的连接,但是,我们强烈建议您在断开连接之前弹出每个设备,以防止数据损坏:
导航到“我的电脑”,右键单击每个连接的设备,然后选择“弹出”:
第 3 步:注销云存储帐户。
一些勒索软件类型可能能够劫持处理存储在“云”中的数据的软件。因此,数据可能已损坏/加密。因此,您应该在浏览器和其他相关软件中注销所有云存储帐户。您还应该考虑暂时卸载云管理软件,直到感染被完全清除。
识别勒索软件感染:
要正确处理感染,必须首先识别它。一些勒索软件感染使用勒索要求消息作为介绍(请参阅下面的 WALDO 勒索软件文本文件)。
然而,这种情况很少见。在大多数情况下,勒索软件感染会传递更直接的消息,简单地说明数据已加密,受害者必须支付某种赎金。请注意,勒索软件类型的感染通常会生成具有不同文件名的消息(例如,“ _readme.txt ”、“ READ-ME.txt ”、“ DECRYPTION_INSTRUCTIONS.txt ”、“ DECRYPT_FILES.html””等)。因此,使用勒索消息的名称似乎是识别感染的好方法。问题是这些名称中的大多数都是通用的,有些感染使用相同的名称,即使传递的消息是不同并且感染本身是无关的。因此,单独使用消息文件名可能是无效的,甚至会导致永久性数据丢失(例如,通过尝试使用为不同的勒索软件感染设计的工具解密数据,用户很可能最终永久损坏即使使用正确的工具,文件和解密也将不再可能)。
识别勒索软件感染的另一种方法是检查附加到每个加密文件的文件扩展名。勒索软件感染通常以它们附加的扩展名命名(请参阅下面由 Qewe 勒索软件加密的文件)。
但是,此方法仅在附加的扩展名是唯一的时才有效——许多勒索软件感染附加了通用扩展名(例如,“. encrypted ”、“ .enc ”、“ .crypted ”、“. locked ”等)。在这些情况下,无法通过其附加扩展名识别勒索软件。
识别勒索软件感染的最简单快捷的方法之一是使用 ID Ransomware 网站。此服务支持大多数现有的勒索软件感染。受害者只需上传一条勒索信息和/或一个加密文件(我们建议您尽可能上传两者)。
勒索软件将在几秒钟内被识别出来,并向您提供各种详细信息,例如感染所属的恶意软件家族的名称、是否可解密等。
示例 1(Qewe [Stop/Djvu] 勒索软件):
示例 2(.iso [Phobos] 勒索软件):
如果您的数据碰巧被 ID Ransomware 不支持的勒索软件加密,您始终可以尝试使用某些关键字(例如,勒索邮件标题、文件扩展名、提供的联系电子邮件、加密钱包地址等)在互联网上搜索。 ).
搜索勒索软件解密工具:
大多数勒索软件类型的感染使用的加密算法都非常复杂,如果加密执行得当,只有开发人员能够恢复数据。这是因为解密需要特定的密钥,该密钥是在加密过程中生成的。没有密钥就无法恢复数据。在大多数情况下,网络罪犯将密钥存储在远程服务器上,而不是将受感染的机器用作主机。Dharma (CrySis)、Phobos 和其他高端勒索软件感染系列几乎完美无缺,因此在没有开发人员参与的情况下恢复加密数据是根本不可能的。尽管如此,仍有数十种勒索软件类型的感染开发不善且包含许多缺陷(例如,对每个受害者使用相同的加密/解密密钥,密钥存储在本地等)。
在 Internet 上找到正确的解密工具可能会非常令人沮丧。出于这个原因,我们建议您使用No More Ransom 项目 ,这是识别勒索软件感染 的有用之处。No More Ransom Project 网站包含一个带有搜索栏的“解密工具”部分。输入识别出的勒索软件的名称,所有可用的解密器(如果有的话)将被列出。
使用数据恢复工具恢复文件:
根据情况(勒索软件感染的质量、使用的加密算法类型等),可能可以使用某些第三方工具恢复数据。因此,我们建议您使用 CCleaner 开发的 Recuva 工具。该工具支持超过一千种数据类型(图形、视频、音频、文档等)并且非常直观(恢复数据所需的知识很少)。此外,恢复功能是完全免费的。
第 1 步:执行扫描。
运行 Recuva 应用程序并按照向导进行操作。系统将提示您使用几个窗口,让您选择要查找的文件类型、应扫描的位置等。您需要做的就是选择要查找的选项并开始扫描。我们建议您在开始之前启用“深度扫描”,否则应用程序的扫描功能将受到限制。
等待 Recuva 完成扫描。扫描持续时间取决于您正在扫描的文件量(数量和大小)(例如,数百 GB 可能需要一个多小时才能扫描完毕)。因此,在扫描过程中请耐心等待。我们还建议不要修改或删除现有文件,因为这可能会干扰扫描。如果您在扫描时添加额外的数据(例如,下载文件/内容),这将延长该过程:
第 2 步:恢复数据。
该过程完成后,选择要恢复的文件夹/文件,然后单击“恢复”。请注意,恢复数据需要存储驱动器上的一些可用空间:
创建数据备份:
正确的文件管理和创建备份对于数据安全至关重要。因此,请始终非常小心并提前考虑。
分区管理: 我们建议您将数据存储在多个分区中,避免将重要文件存储在包含整个操作系统的分区中。如果您陷入无法启动系统并被迫格式化安装操作系统的磁盘(在大多数情况下,这是恶意软件感染隐藏的地方)的情况,您将丢失该驱动器中存储的所有数据。这就是拥有多个分区的好处:如果您将整个存储设备分配给一个分区,您将被迫删除所有内容,但是,创建多个分区并正确分配数据可以防止此类问题的发生。您可以轻松地格式化单个分区而不影响其他分区 - 因此,一个分区将被清理而其他分区将保持不变,并且您的数据将被保存。Microsoft 的文档网页。
数据备份:最可靠的备份方法之一是使用外部存储设备并将其拔掉。将您的数据复制到外部硬盘驱动器、闪存(拇指)驱动器、SSD、HDD 或任何其他存储设备,拔下插头并将其存放在远离阳光和极端温度的干燥地方。然而,这种方法效率很低,因为需要定期进行数据备份和更新。您还可以使用云服务或远程服务器。在这里,需要互联网连接,并且总是存在安全漏洞的可能性,尽管这种情况非常罕见。创建数据备份:
所有文件类型和文件夹的备份过程都是相同的。以下是使用 Microsoft OneDrive 备份文件的方法
第 1 步:选择要备份的文件/文件夹。
单击OneDrive 云图标以打开OneDrive 菜单。在此菜单中,您可以自定义文件备份设置。
单击帮助和设置,然后从下拉菜单中选择设置。
转到“备份”选项卡并单击“管理备份”。
在此菜单中,您可以选择备份桌面及其上的所有文件,以及文档和图片文件夹,以及其中的所有文件。单击开始备份。
现在,当您在桌面、文档和图片文件夹中添加文件或文件夹时,它们将自动备份到 OneDrive 上。
要添加不在上面显示的位置的文件夹和文件,您必须手动添加它们。
打开文件资源管理器并导航到要备份的文件夹/文件的位置。选择项目,右键单击它,然后单击复制。
然后,导航到 OneDrive,右键单击窗口中的任意位置并单击粘贴。或者,您可以将文件拖放到 OneDrive 中。OneDrive 将自动创建文件夹/文件的备份。
所有添加到 OneDrive 文件夹的文件都会自动备份到云端。带有复选标记的绿色圆圈表示该文件在本地和 OneDrive 上均可用,并且两者的文件版本相同。蓝色云图标表示该文件尚未同步并且仅在 OneDrive 上可用。同步图标表示文件当前正在同步。
要在线访问仅位于 OneDrive 上的文件,请转至帮助和设置下拉菜单并选择在线查看。
第 2 步:恢复损坏的文件。
OneDrive 确保文件保持同步,因此计算机上的文件版本与云端的版本相同。但是,如果勒索软件对您的文件进行了加密,您可以利用OneDrive 的版本历史记录功能来恢复加密前的文件版本。
Microsoft 365 具有勒索软件检测功能,可在您的 OneDrive 文件受到入侵时通知您,并指导您完成恢复文件的过程。但必须注意的是,如果你没有付费的 Microsoft 365 订阅,你只能免费获得一次检测和文件恢复。
如果您的 OneDrive 文件被删除、损坏或被恶意软件感染,您可以将整个 OneDrive 恢复到以前的状态。以下是恢复整个 OneDrive 的方法:
1. 如果您使用个人帐户登录,请单击页面顶部的设置齿轮。然后,单击选项并选择还原您的 OneDrive。
如果您使用工作或学校帐户登录,请单击页面顶部的设置齿轮。然后,单击“恢复您的 OneDrive”。
2. 在恢复您的 OneDrive 页面上,从下拉列表中选择一个日期。请注意,如果您在自动勒索软件检测后恢复文件,系统会为您选择一个恢复日期。
3. 配置所有文件恢复选项后,单击恢复以撤消您选择的所有活动。
避免勒索软件感染造成损害的最佳方法是保持定期的最新备份。
经常遇上的问题
- 如何打开faust勒索软件”加密的文件? 基本上不可能。这些文件由faust勒索软件加密。faust勒索软件加密的文件的内容在解密之前不可用。
- faust勒索软件文件包含重要信息。我怎样才能紧急解密它们? 如果是数据库文件可以进行修复提取,如果hi文档只能寻求密钥解密的方式
- 如果使用杀毒软件 删除faust勒索软件。这是否意味着该杀毒软件程序将删除我的加密文件? 当然不是。您的加密文件不会对计算机构成威胁。杀毒软件会识别和区分勒索软件威胁