比WannaCry還要可怕的勒索病毒UIWIX？對措施看這裡

來源：FreeBu

參考來源：2-spyware 、virusresearch、.theregister

編譯：FB小編Carrie

鏈接：www.freebuf.com/articles/system/135159.html

WannaCry爆發以後，安全專家正應付得焦頭爛額，一波未平、一波又起，國外某些用戶的電腦又遭到了第二波攻擊，他們的電腦屏幕上跳出了以下信息：

>>> ALL YOUR PERSONAL FILES ARE DECODED

Your personal code: XXX

To decrypt your files, you need to buy special software.

Do not attempt to decode or modify files, it may be broken.

To restore data, follow the instructions!

You can learn more at this site:

hxxps://4ujngbdqqm6t2c53[.]onion.to

hxxps://4ujngbdqqm6t2c53[.]onion.cab

hxxps://4ujngbdqqm6t2c53[.]onion.nu

If a resource is unavailable for a long time to install and use the tor browser.

After you start the Tor browser you need to open this link hxxp://4ujngbdqqm6t2c53[.]onion

（你的個人文件已被加密；個人識別碼：要想解密文件必須購買專用軟體。千萬不要嘗試解碼或修改文件，否則一切後果自負。想要恢復文件，務必遵循以下步驟！

更多信息請訪問以下鏈接：。若該資源長時間無法正常安裝，可使用洋蔥瀏覽器。打開洋蔥瀏覽器後訪問以下鏈接）

一、基本介紹

這種病毒被稱為UIWIX——勒索軟體最新的家族成員，利用的是與WannaCry相同的漏洞。但UIWIX不像WannaCry那樣具備kill switch，其作用是阻止病毒的傳播，也就是說UIWIX只會不斷進行自我複製，這種破壞連病毒的開發者也無法阻止。

當然也有專家提出反對觀點，認為UIWIX並不是一種SMB蠕蟲，其背後黑客只是手動利用漏洞並展開感染，不具有像蠕蟲那樣極強的傳播能力。

UIWIX首先會掃描硬碟並檢測所有目標文件。它能夠加密九十多種類型的文件，包括文檔、圖片、檔案。加密文件名稱中會出現「.UIWIX」的後綴。也就是說假如您有一個名為example.exe的文件，病毒會將其重命名為example.exe.UIWIX。

我們還是能夠能看到文件圖標，但無法打開。好消息是，該病毒不會加密和操作系統相關的關鍵文件。因此至少我們還是可以通過電腦尋找解決方案。但壞消息是目前還沒有免費的解密工具公開。

不過作為受害群眾也不需要太過擔心，全球成千上萬的安全研究人員都在努力開發工具。在這裡需要著重提醒讀者的一點是：千萬不要支付贖金！UIWIX背後的黑客要求受害者支付0.12比特幣（約220USD）來購買所謂的解密工具。

之所以選擇比特幣正是因為它的不可追蹤性。如果你付了錢也沒有收到解密程序，那麼神仙也幫不了你了。所以，千萬千萬不要付贖金！你面對的是破壞社會規則的犯罪分子，指望他們會公平交易，你也太天真了。

二、感染方式

UIWIX的開發者利用的也是Windows系統中的SMBv1和SMBv2漏洞，也就是被稱為「Shadow Brokers」的黑客組織所泄露的「永恆之藍」漏洞。Windows用戶都要為操作系統和軟體打好補丁，以免感染。

微軟甚至還為WindowsXP、Win8、Windows Server 2003這些不再提供更新服務的用戶推出了修復補丁。

另外，UIWIX可能也會通過被入侵的遠程桌面連接進行攻擊。一些專家認為該惡意軟體也可能會採用郵件附件的方式進行傳播感染。因此建議大家都要保持百分之百的警惕來預防UIWIX這些勒索軟體。

如果被感染了怎麼辦？天無絕人之路。你是否有在其它設備上備份系統？如果有，那麼我們就可以輕鬆地恢復文件。但是在恢復之前的首要任務還是要把UIWIX先刪除，否則它還是會把你剛剛恢復的文件進行加密，甚至損壞你的備份設備。

因此我們需要使用一個可信的反病毒軟體來刪除UIWIX。或者你也可以按照我們的步驟進行手動刪除，清理設備並開始定期備份系統。只有這樣，才能預防勒索軟體的捲土重來。

三、UIWIX刪除嚮導

>>>>

第一步：通過帶網路連接的安全模式刪除UIWIX

請按照以下說明操作。切記在安全模式下完成反病毒軟體的運行後，恢復正常模式進行重複掃描。

重啟電腦，開啟「帶網路連接的安全模式」（Safe Mode with Networking）。

Windows 7 / Vista / XP

1. 單擊開始關機重啟OK

2. 當電腦處於活動狀態時，多次按住鍵盤上的F8按鈕，直到跳出「Advanced Boot Options」（高級啟動選項）

3. 選擇列表中的「Safe Mode with Networking」

Windows 10 / Windows 8

1. 在Windows登錄界面上按電源按鈕

2. 按住Shift鍵，然後單擊重啟

3. 選擇疑難解答高級選項啟動設置重啟

4. 一旦計算機進入活動狀態，在啟動設置窗口中選擇「Enable Safe Mode with Networking」

>>>>

第二步：刪除UIWIX

登錄至受感染帳戶並啟動瀏覽器。下載反間諜程序。確保在最新狀態下對系統進行全面掃描，同時刪除惡意文件，最終完成UIWIX的清理工作。

如果勒索軟體阻止Safe Mode with Networking。那麼我們可以通過以下方法作進一步嘗試。

利用System Restore（系統還原）完成惡意軟體的清理，請遵循以下步驟。

>>>>

第一步：重啟電腦，開啟Safe Mode with Command Prompt（帶命令提示符的安全模式）

Windows 7 / Vista / XP

1. 點擊開始關機重啟OK

2. 當你的電腦進入活動狀態後，多次按住F8，直到跳出Advanced Boot Option界面（高級啟動選項）

3. 在列表中選擇Command Prompt

Windows 10 / Windows 8

1. 在Windows登錄界面上按電源按鈕

2. 選擇疑難解答高級選項啟動設置重啟

3. 一旦計算機進入活動狀態，在啟動設置窗口中選擇「Enable Safe Mode with Command Prompt

>>>>第二步：恢復系統文件與設置

Command Prompt頁面跳出後，輸入cd restore再按Enter鍵

再輸入rstrui.exe,按Enter鍵

跳出一個新的窗口，點擊「Next（下一步）」，選擇UIWIX入侵之前的還原點，再點擊「下一步」。

點擊「Yes」開始進行系統還原。

如果系統還原到被攻擊之前的狀態後，請使用反病毒軟體對計算機進行掃描，確保UIWIX已被成功刪除。

四、Bonus：數據恢復

上面的步驟主要是刪除UIWIX。下面我們將介紹如何恢復加密文件的方法，方法提出者是2-spyware.com的安全專家。

到目前為止，UIWIX的解密方法尚未被研究出來，因此我們採用其它方式來恢復你的數據。

1. 使用Data Recovery Pro來拯救被UIWIX加密的文件

下載Data Recovery Pro（http://www.2-spyware.com/download/data-recovery-pro-setup.exe）

根據安裝指南完成安裝

啟動並掃描計算機上被UIWIX加密的文件

恢復文件

2. Windows的歷史版本功能能夠幫助恢復舊的文件版本

找到需要恢復的加密文件

右擊，選擇「屬性」並轉到「以前的版本」選項卡

檢查「文件夾版本」中文件的每個可用副本

選擇要恢復的版本，單擊「恢復」

3. 合法的UIWIX解密器尚未正式發布

千萬不要購買某些黑客販賣的非法UIWIX解密器，因為這有可能是另一種惡意軟體，反而會更大程度地破壞你的計算機。我們應時刻警惕勒索軟體，同時也建議使用知名的反間諜軟體，如：Reimage、Plumbytes Anti-Malware或Malwarebytes Anti Malware。

小編拉你進粉絲微信群

不是在文章評論里回

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！