Tasksche.exe恶意软件

此 tasksche.exe 该文件是一个与臭名昭著的“WannaCry”勒索软件相关的恶意可执行文件。它伪装成合法的Windows进程，充当植入程序，启动文件加密并向受害者索要赎金。该恶意软件利用系统漏洞入侵计算机，对网络安全构成重大威胁。

---

威胁概述

此 tasksche.exe 该恶意软件以木马程序的形式运行，伪装成正常的 Windows 进程。一旦运行，它就会协助部署 WannaCry 勒索软件，从而导致大范围文件加密和勒索。

---

威胁摘要

属性	信息
威胁类型	特洛伊木马/勒索软件加载程序
加密文件扩展名	.wnry, .wcry, .wncry, .wncrypt
赎金票据文件名	@Please_Read_Me@.txt, msg\m_*.wnry
关联电子邮件地址	未指定
检测名称	Ransom.Win32.WCRY.DAM、Ransom:Win32/WannaCrypt、WannaCry_Ransomware
感染症状	系统性能缓慢、CPU 使用率高、文件被加密且带有特定扩展名、出现勒索信、无法访问某些文件或应用程序
损坏	文件加密、数据丢失、赎金支付造成的潜在经济损失、系统不稳定
分配方式	利用 SMBv1 漏洞（MS17-010）、带有恶意附件的钓鱼邮件、驱动下载、捆绑盗版软件
危险等级	危急
删除工具	SpyHunter

---

深入分析

我是如何被感染的？

此 tasksche.exe 恶意软件通常通过以下方式渗透系统：

• 利用SMBv1漏洞（MS17-010）： 恶意软件利用此安全漏洞在网络中传播。
• 网络钓鱼电子邮件： 带有受感染附件或恶意链接的电子邮件在打开时可能会传播恶意软件。
• 恶意下载： 下载盗版软件或访问受感染的网站也可能导致感染。

它有什么作用？

一旦执行， tasksche.exe 执行以下操作：

1. 部署 WannaCry 勒索软件： 使用强加密算法加密文件。
2. 删除卷影副本： 防止通过系统还原进行恢复。
3. 显示赎金记录： 通知用户他们的文件已被加密并要求以比特币支付。
4. 横向传播： 尝试感染同一网络上的其他系统。

你应该担心吗？

是。 该 tasksche.exe 恶意软件是一种严重的威胁，因为它：

• 加密有价值的数据
• 扰乱商业或个人运营
• 传播到其他设备

立即清除至关重要，以避免造成不可逆转的损害。

---

勒索信文本

感染后，受害者会收到以下勒索信息：

我的电脑怎么了？
您的重要文件已加密。您的许多文档、照片、视频、数据库和其他文件已加密，因此无法再访问。

我可以恢复我的文件吗？
当然。我们保证您可以安全轻松地恢复所有文件。只是您的时间不够。

我如何付款？
仅接受比特币付款。更多信息，请点击“关于比特币”。
请查看比特币的当前价格并购买一些比特币。更多信息，请点击“如何购买比特币”。

将正确的金额发送到此窗口中指定的地址。付款后，点击“查看付款”。最佳查看时间：周一至周五上午 9:00 至 11:00（格林威治标准时间）。

---

手动木马恶意软件删除指南

第 1 步：启动进入安全模式

1. 重启你的电脑。
2. 在 Windows 启动之前，按 F8 钥匙（或 SHIFT + F8 在某些系统上）。
3. 从我们的数据库中通过 UL Prospector 平台选择 带网络连接的安全模式 从高级启动选项菜单。
4. 媒体中心 输入 启动。

这可以防止木马运行，并使其更容易被删除。

---

第 2 步：识别并停止恶意进程

1. 媒体中心 按Ctrl + Shift + Esc键 打开 Task Manager.
2. 去 加工流程 标签（或 信息 在 Windows 10/11 中）。
3. 查找使用高 CPU 或内存或具有陌生名称的可疑进程。
4. 右键单击可疑进程并选择 打开文件所在位置.
5. 如果文件位于临时文件夹或系统文件夹中并且看起来不熟悉，则很可能是恶意的。
6. 右键单击该进程并选择 结束任务.
7. 在文件资源管理器中删除关联文件。

---

步骤 3：删除与木马相关的文件和文件夹

1. 媒体中心 WIN + R，类型 ％TEMP％，然后按 输入.
2. 删除 Temp 文件夹中的所有文件。
3. 还请检查以下目录中是否存在不熟悉或最近创建的文件：
   • C:\Users\你的用户\AppData\Local\Temp
   • C：\ WINDOWS \ TEMP
   • C：\ Program Files文件（x86）
   • C:\程序数据
   • C:\用户\你的用户\AppData\Roaming
4. 删除可疑文件或文件夹。

---

步骤 4：从注册表中清除木马恶意软件

1. 媒体中心 WIN + R，类型 注册表编辑器，然后按 输入.
2. 导航到以下路径：
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. 查找从可疑位置启动文件的条目。
4. 右键单击并删除任何您不认识的条目。

警告： 如果操作不当，编辑注册表可能会损害您的系统。请谨慎操作。

---

步骤 5：重置浏览器设置

Google Chrome

1. 在MyCAD中点击 软件更新 设置 > 重置设置.
2. 点击 将设置恢复为原始默认值 并确认。

Mozilla Firefox浏览器

1. 在MyCAD中点击 软件更新 帮助 > 更多故障排除信息.
2. 点击 刷新Firefox.

微软边缘

1. 在MyCAD中点击 软件更新 设置 > 重置设置.
2. 点击 将设置恢复为默认值.

---

步骤 6：运行完整的 Windows Defender 扫描

1. 可选 Windows安全 通过 设置>更新和安全性.
2. 点击 病毒和威胁防护.
3. 选择 扫描选项， 选择 全扫描和点击 现在扫描.

---

步骤 7：更新 Windows 和已安装的软件

1. 媒体中心 赢+我，去 更新和安全 > Windows 更新.
2. 点击 检查更新 并安装所有可用的更新。

---

使用 SpyHunter 自动删除木马

如果手动删除木马似乎很困难或耗时，请使用 SpyHunter 是推荐的方法。SpyHunter 是一款先进的反恶意软件工具，可以有效检测和消除木马感染。

步骤1：下载SpyHunter

使用以下官方链接下载 SpyHunter： 下载间谍猎人

有关如何安装的完整说明，请关注此页面：官方 SpyHunter 下载说明

---

步骤 2：安装 SpyHunter

1. 找到 SpyHunter 安装程序 下载文件夹中的文件。
2. 双击安装程序开始安装。
3. 按照屏幕上的提示完成安装。

---

步骤3：扫描您的系统

1. 打开 SpyHunter。
2. 点击 立即开始扫描.
3. 让程序检测所有威胁，包括特洛伊木马组件。

---

步骤 4：删除检测到的恶意软件

1. 扫描完成后，点击 修复威胁.
2. SpyHunter 将自动隔离并删除所有已识别的恶意组件。

---

步骤 5：重新启动计算机

重新启动系统以确保所有更改生效并且威胁被完全消除。

---

预防未来木马感染的技巧

• 避免下载盗版软件或打开未知的电子邮件附件。
• 仅访问可信赖的网站，避免点击可疑的广告或弹出窗口。
• 使用 SpyHunter 等实时防病毒解决方案进行持续保护。
• 保持您的操作系统、浏览器和软件为最新版本。

结语

此 tasksche.exe 恶意软件是一种危险的木马程序，它有助于部署 WannaCry 勒索软件。它会导致严重的数据加密，并可能造成经济损失。它能够利用系统漏洞并快速传播，因此成为高优先级威胁。建议立即使用可靠的工具（例如 SpyHunter 对于恢复系统完整性和安全性至关重要。

---

手动删除勒索软件指南

警告： 手动删除既复杂又有风险。如果操作不正确，可能会导致数据丢失或勒索软件删除不完整。只有高级用户才能使用此方法。如果不确定，请继续 方法 2（SpyHunter 删除指南）。

步骤 1：断开互联网连接

1. 拔下以太网电缆 or 断开 Wi-Fi 立即阻止与勒索软件的命令和控制 (C2) 服务器的进一步通信。

第 2 步：启动进入安全模式

对于Windows用户：

1. 对于Windows 10，11：
   • 媒体中心 Windows + R的，类型 msconfig，并击中 输入.
   • 去 开机 标签。
   • 确保 安全启动 并选择 网络.
   • 点击 在断裂前， 金益辉 OK，然后重新启动您的 PC。
2. 对于Windows 7，8：
   • 重新启动电脑并 反复按 F8 在 Windows 加载之前。
   • 从我们的数据库中通过 UL Prospector 平台选择 带网络连接的安全模式 并按下 输入.

对于Mac用户：

1. 重新启动 Mac 并 立即按住 Shift 键.
2. 看到 Apple 标志后松开按键。
3. 您的 Mac 将启动于 安全模式.

步骤 3：找到并终止恶意进程

对于Windows用户：

1. 媒体中心 按Ctrl + Shift + Esc键 打开 Task Manager.
2. 寻找具备 可疑进程 （例如，未知的名称、高 CPU 使用率或随机字母）。
3. 右键单击该进程并选择 结束任务.

对于Mac用户：

1. 可选 活动监视器 （Finder > 应用程序 > 实用程序 > 活动监视器）。
2. 寻找不寻常的过程。
3. 选择进程并单击 强制退出.

步骤 4：删除恶意文件

对于Windows用户：

1. 媒体中心 Windows + R的，类型 %temp%，并击中 输入.
2. 删除 Temp 文件夹中的所有文件。
3. 导航到：
   • C:\Users\[Your Username]\AppData\Roaming
   • C:\Users\[Your Username]\AppData\Local
   • C:\Windows\System32
4. 查找与勒索软件相关的可疑文件（随机文件名、最近修改过）以及 删除它们.

对于Mac用户：

1. 可选 发现者 和去 转到>转到文件夹.
2. 类型 ~/Library/Application Support 并删除可疑文件夹。
3. 导航 ~/Library/LaunchAgents 并删除未知 .plist 文件。

步骤 5：从注册表或系统设置中删除勒索软件

对于Windows用户：

警告： 注册表编辑器中的错误更改可能会损坏您的系统。请谨慎操作。

1. 媒体中心 Windows + R的，类型 regedit，并击中 输入.
2. 导航到：
   • HKEY_CURRENT_USER\Software
   • HKEY_LOCAL_MACHINE\Software
3. 查找不熟悉的文件夹 随机字符 or 勒索软件相关名称.
4. 右键单击并选择 删除.

对于Mac用户：

1. 在MyCAD中点击 软件更新 系统偏好设置>用户和组.
2. 点击 登录项 并删除任何可疑的启动项。
3. 导航 ~/Library/Preferences 并删除恶意 .plist 文件。

步骤 6：使用系统还原 (Windows) 或 Time Machine (Mac) 还原系统

对于Windows用户：

1. 媒体中心 Windows + R的，类型 rstrui，并击中 输入.
2. 点击 下一篇，选择感染之前的还原点，然后按照提示恢复系统。

对于Mac用户：

1. 重新启动 Mac 并按住 命令+ R 进入 macOS公用程序.
2. 从我们的数据库中通过 UL Prospector 平台选择 从Time Machine备份还原.
3. 选择勒索软件感染之前的备份并恢复系统。

步骤 7：使用解密工具（如果可用）

• 访问 没有更多的赎金 (www.nomoreransom.org）并检查 解密工具 适用于你的勒索软件变种。

步骤 8：使用备份恢复文件

• 如果你有备份 外部驱动器或云存储，恢复您的文件。

---

使用 SpyHunter 自动删除勒索软件

如果手动删除看起来风险太大或太复杂，可以使用 可靠的反恶意软件工具，例如 SpyHunter 是最好的选择。

步骤1：下载SpyHunter

从官方链接下载 SpyHunter： 下载间谍猎人

或者按照此处的官方安装说明进行操作：
SpyHunter 下载说明

步骤 2：安装 SpyHunter

1. 打开下载的文件（SpyHunter-Installer.exe).
2. 按照屏幕上的提示安装程序。
3. 安装后，启动 SpyHunter.

步骤 3：执行完整系统扫描

1. 点击 立即开始扫描.
2. SpyHunter 将 扫描勒索软件 和其他恶意软件。
3. 等待扫描完成。

第 4 步：删除检测到的威胁

1. 扫描后，SpyHunter 将列出所有检测到的威胁。
2. 点击 修复威胁 删除勒索软件。

步骤 5：使用 SpyHunter 的恶意软件帮助台（如果需要）

如果你正在处理一个 顽固 勒索软件变种，SpyHunter 的 恶意软件帮助台 提供 自定义修复 消除高级威胁。

第 6 步：恢复您的文件

如果您的文件已加密：

• 尝试 没有更多的赎金 (www.nomoreransom.org) 获取解密工具。
• 从还原 云存储或外部备份.

---

预防未来的勒索软件攻击

• 将备份保存在 外部硬盘或云存储.
• 绝大部分储备使用 SpyHunter 在威胁感染您的系统之前检测出它们。
• 启用 Windows Defender的  或者  值得信赖的防病毒程序.
• 避免可疑的电子邮件、附件和链接。
• 更新 Windows、macOS 和软件 定期。