新型勒索病毒軟體GruxEr來襲：深度分析如何傳播、加密及如何刪除

新聞 05-21

本文旨在幫助您清除Gruxer ransomware感染，並通過此ransomware病毒恢復AES加密文件。

據報道，GruxEr名稱的ransomware感染會加密其感染的計算機上的文件，然後在受害者的BitCoin中要求250美元的贖金來獲取文件。該病毒已於二零一七年五月初發現，自此以來一直遭到破壞。它丟下一張贖金票據，要求受害者不要關閉他們的電腦，否則文件將永久丟失。如果您的計算機被GruxEr ransomware 威脅感染，您應該徹底閱讀以下文章，了解如何從計算機中刪除它並恢復受此感染加密的文件。

建議嘗試本文中提出的任何建議，並且其說明僅由您自己承擔風險！

GruxEr Ransomware – 它如何傳播

據報道，GruxEr ransomware的分布以多種不同的方式進行。這些的主要方法是通過偽造更新，遊戲補丁，密鑰生成器或其他在線文件共享服務來傳播木馬類型的可執行文件。已經檢測到GruxEr ransomware的可執行文件如下：

一旦GruxEr ransomware的惡意執行程序已經打開，病毒會在受害者的計算機上丟棄多個文件，主要位於％Temp％目錄中。這些文件的報告具有以下名稱：

GRUXER.EXE

TEARS.EXE

WORM.EXE

其中一個文件暗示了通過蠕蟲感染傳播GruxEr ransomware的可能方法，這是特別危險的。其主要原因是蠕蟲與其他惡意軟體不同，可能會通過網路的開放埠或計算機自動生成請求，從計算機自動傳播到計算機。

GruxEr Ransomware – 深度分析

相信使用HiddenTear源代碼進行文件加密，稱為Tears，病毒最初開始使用GRUXER.EXE模塊阻止用戶計算機的屏幕。被屏蔽的屏幕有以下贖金記錄：

您的文檔，照片，資料庫和其他重要文件已使用人所熟知的最強加密進行了加密。並使用為此計算機生成的唯一密鑰進行保護。私鑰解密密鑰存儲在一個秘密的互聯網伺服器上，沒有人可以解密您的文件，直到您付費才能獲得密鑰。你必須在比特幣支付250美元給以下的比特幣地址。如果沒有比特幣，請訪問該網站Localbitcoins併購買價值250美元的比特幣。收到付款後2分鐘內，自動漫遊器會將您的個人解密密鑰發送給您的計算機。您有72小時提交付款。如果您沒有在提供的時間內發送錢，您的所有文件將被永久加密，任何人都無法恢復。

之後，GruxEr病毒會加密受感染計算機上的文件，最後一個階段是通過WORM.EXE模塊繼續傳播.JPG感染蠕蟲。該感染者查找JPG文件，並使用PNG文件架構重寫這些文件的開頭。

GruxEr Ransomware – 加密過程

加密文件的過程通過TEARS.EXE模塊執行。當它被激活時，它開始應用之後產生解密密鑰的AES加密演算法。病毒可能定位的文件被認為是以下類型：

→ 「PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG」Source:fileinfo.com

加密受感染計算機上的文件後，病毒可能會在其字元串中添加以下文本：

1.「Files has been encrypted with hidden tear

Send me some bitcoins or kebab

And I also hate night clubs desserts, being drunk.」

（1.「文件已被隱藏的撕裂加密

給我一些比特幣或烤肉串

而且我也討厭夜總會甜點，喝醉了。）

幸運的是，由這種ransomware病毒加密的文件可能是可解密的，因為它是隱藏的撕裂ransomware病毒的一部分。但首先，從計算機和註冊表對象以及其他設置中刪除惡意文件非常重要。為此，我們建議您遵循下面的說明。

刪除GruxEr Ransomware

在請求從計算機中刪除GruxEr之前，強烈建議您提取加密的文件。但是，ransomware通過GRUXER.EXE模塊附加了一個鎖屏。更糟糕的是，病毒警告您，如果計算機關閉，文件將永久丟失。這被認為是一個嚇人的消息，但我們強烈建議不要依靠這些信息。

最好的方法是通過強制關閉電腦，通過切斷電源，無論是通過電源還是電池（筆記本電腦）。然後，我們建議遵循以下步驟:

1.從您的計算機上下載一個從快閃記憶體驅動器引導的實時操作系統。確保實時操作系統是Windows，並且具有所謂的

AntiWinLocker，如果從實時操作系統啟動並繞過用戶帳戶，則可以解鎖Windows的文件夾

。其中一個Windows操作系統稱為Windows 7 LiveCD [Xemom1]。你可以在很多種子的網站上找到它。

2.通過軟體（如

Rufus

）將實時操作系統安裝在快閃記憶體驅動器上。如果您在使用rufus時遇到困難，可以按照我們論壇上的說明進行操作。使用安全的電腦，而不是剛才關閉的電腦。

3.最後一步是

遵循這些說明，以便無風險地啟動計算機

。如果您刪除它的硬碟驅動器並將其附加到另一個安全的PC上，以便您可以訪問加密的文件並將其

複製到

安全PC，則可能會發生這種情況。

我們更願意給你「實踐的方法」，因為它不那麼複雜，可以繞過任何Windows登錄屏幕等。但為了這個工作，你將需要以下工具：

十字螺絲刀，最好用可變尖端。對於較小的螺絲

SATA電纜或SATA至USB外部驅動器轉換盒。通常，費用在10美元到20美元左右。

USB-to-USB電纜，兩側均為公頭。（通常，它包含在SATA到USB外部驅動器製造商套件中）

在開始之前，請記住，即使您有台式電腦，指令也沒有太大差異，因為應用相同的原則。我們已經決定對筆記本電腦執行這些說明，因為它們在其他電腦中最為普及。

步驟1：

從筆記本電腦中取出電池，並從中擰下螺絲以取出硬碟，如下圖所示：

步驟2：

確保使用SATA轉換板和埠提取模塊，並將SATA驅動器插入其中。

步驟3：

將驅動器連接到計算機。它應該顯示為「可移動磁碟」或「本地驅動器」，其中包含驅動器號，而不是原始驅動器。（例如：G :, E :, F:)

步驟4：

複製你的文件。現在所有這些都是為了訪問您的文件，具體取決於它們所在的位置。如果您的驅動器有兩個分區，您將看到這是連接到您的計算機的兩個可移動驅動器。如果您將所有重要文件保存在一個分區中，並且無法在主驅動器上找到它們，則應轉到以下位置訪問您的配置文件：

DriveLetter:Users{Username}

驅動器號：用戶 {用戶名}

在那裡你應該可以看到你所有的個人資料的文件夾：

完成此操作後，我們建議您將文件複製到外部驅動器或更高版本 – 將它們寫在磁碟上，以使它們安全無瑕疵，並可能會在計算機上發生任何惡意軟體或崩潰。

重要！確保安全PC離線並具有活性抗病毒保護，因為病毒具有擴散能力！僅複製重要文件！

然後，您可以按照以下說明將計算機啟動到安全模式並安全刪除病毒文件。惡意軟體研究人員強烈建議先刪除Lockscreen，方法是找到ScreenSaver字元串：

HKCUControl PanelDesktop

要打開Windows註冊表編輯器，首先以安全模式啟動：

安全模式下啟動PC以恢復您的文件

對於Windows 7，XP和Vista

1.刪除所有CD和DVD，然後從「開始」菜單重新啟動PC 。

2.選擇以下兩個選項之一：

–

對於具有單個操作系統的PC

：在重新啟動計算機時，首次啟動屏幕顯示後，反覆按「 F8 」。如果屏幕上出現Windows徽標，則必須重複相同的任務。

–

對於具有多種操作系統的電腦：

Т方向鍵可幫助您選擇您希望在安全模式下啟動的操作系統。按照「 F8 」按照單個操作系統的說明進行操作。

3.當出現「高級啟動選項」屏幕時，使用箭頭鍵選擇所需的安全模式選項。在進行選擇時，按「 Enter 」。

4.使用您的管理員帳戶登錄到您的計算機

當您的計算機處於安全模式時，「安全模式」將顯示在屏幕的所有四個角落。

對於Windows 8,8.1和10

步驟1：打開開始菜單

步驟2：雖然按住Shift鍵按鈕，點擊電源，然後單擊重新啟動。

步驟3：重新啟動後，將顯示後面提到的菜單。從那裡你應該選擇排除故障。

步驟4：您將看到疑難解答菜單。從此菜單中，您可以選擇高級選項。

步驟5：在經過高級選項菜單出現，點擊啟動設置。

步驟6：點擊重啟。

步驟7：重新啟動時將出現一個菜單。您應該按相應的號碼選擇安全模式，機器將重啟。

然後按住WIN + R鍵並在框中輸入regedit。從右上角的搜索欄可以輸入屏幕保護程序的註冊表字元串名稱。當你刪除它，你可以刪除鎖屏。

然後，您可以重新啟動計算機並刪除惡意軟體。刪除GruxEr的最佳方法是使用高級反惡意軟體軟體掃描計算機。這將有助於您徹底擺脫威脅及其所有設置的變化。

通過下載高級反惡意軟體程序自動刪除GruxEr

使用SpyHunter Anti-Malware工具刪除GruxEr並備份數據

步驟1：點擊「下載」按鈕進入SpyHunter的下載頁面。

Malware Removal Tool

惡意軟體刪除工具

Download

強烈建議在購買完整版本的軟體之前運行掃描，以確保SpyHunter可以檢測到當前版本的惡意軟體。

步驟2：通過為每個瀏覽器提供的下載說明來指導自己。

步驟3：安裝SpyHunter後，等待它自動更新。

使用SpyHunter進行掃描以檢測和刪除GruxEr

步驟1：更新過程完成後，單擊「立即掃描計算機」按鈕。

步驟2： SpyHunter掃描您的電腦後，點擊「修復威脅」按鈕，自動永久刪除。

步驟3：一旦您的PC上的入侵已被刪除，強烈建議您重新啟動它。

備份您的數據以防止GruxEr在未來的感染和文件加密

重要！在閱讀Windows備份指導之前，我們強烈建議您使用雲備份自動備份數據，並確保其免受設備上任何類型的數據丟失，即使是最嚴重的數據丟失。

我們建議您閱讀更多關於並下載SOS Online Backup的信息。

SOS Online Backup

SOS在線備份

刪除病毒後，您可以按照下面的解密說明開始解密備份的加密文件。

如何解密GruxEr加密的文件

HiddenTear ransomware病毒（如GruxEr）的文件解密過程並不困難，但您需要做好準備，並從強大的安全計算機執行。讓我們開始！

步驟1：點擊下面的按鈕下載

HiddenTear BruteForcer

，打開檔案：HiddenTear Bruteforcer

步驟2：將程序提取到桌面上，或者隨時隨地輕鬆訪問桌面或將其以管理員身份打開：

步驟3：打開後，你應該看到暴力的主界面。從那裡選擇「瀏覽器樣本」來選擇您要解密的ransomware類型的加密文件示例：

步驟4：從左下角的擴展菜單中選擇贖金的類型：

步驟5：點擊Start Bruteforce按鈕。這可能需要一些時間。在暴力強制完成並找到鑰匙後，將其複製並保存在PC上的某個位置.txt文件中，您將需要它。

步驟6：從下面的下載按鈕下載

HiddenTear Decryptor

步驟7：提取它並打開它，與HiddenTear Bruteforcer相同。從它的主界面，粘貼從BruteForcer複製的密鑰，寫入ransomware使用的擴展類型，然後單擊解密按鈕，如下所示：

完成這些步驟後，您應立即將文件複製到外部設備，以使其安全。完成之後，我們強烈建議您完全擦拭驅動器，並在受影響的機器上重新安裝Windows。

GruxEr解密 – 結論

像GruxEr變種的病毒正變得越來越普遍。研究人員在線發布了許多項目，目的是停止ransomware，但這代表了編程人員開發ransomware的機會，並開始使用它來感染用戶，或者在深度網路中銷售。隨著ransomware變體的擴展，我們預計看到比2015年更多的感染系統。這就是為什麼我們建議您按照我們的建議保護您的計算機在下面：

建議1：

請務必閱讀我們的一般保護技巧，並嘗試讓他們成為您的習慣，並且教育他人也是如此。

建議2：

安裝具有經常更新的實時屏蔽定義和ransomware保護的高級反惡意軟體程序。

Malware Removal Tool

間諜獵人掃描儀只會檢測到威脅。如果您希望自動刪除威脅，則需要購買完整版的反惡意軟體工具。了解更多關於SpyHunter反惡意軟體工具 / 如何卸載SpyHunter

建議3：

尋找並下載特定的可靠的反篡改軟體。

建議4：

使用本文中的一種方法備份文件。

建議5：

瀏覽萬維網時，請務必使用安全的網頁瀏覽器。