备份 Airmail CC 勒索软件是广泛传播的 STOP/DJVU 勒索软件家族中一款高度危险的计算机病毒。它通过欺骗手段入侵系统,加密重要的用户文件,并留下勒索信息,敦促受害者通过 airmail.cc 电子邮件地址联系攻击者。其最终目标是:强迫受害者付款,以换取可能永远不会收到的解密密钥。
这种勒索软件变种针对多种文件类型,如果不迅速处理,可能会造成不可逆转的损害。
威胁摘要
| 属性 | 信息 |
|---|---|
| 威胁类型 | 文件加密勒索软件 |
| 加密文件扩展名 | 通常会添加 .BACKUPS 或随机的四个字母的后缀 |
| 赎金记录文件 | _readme.txt |
| 联系邮箱 | spysecurelab@airmail.cc, securehunter@airmail.cc |
| 检测别名 | 被称为 STOP/DJVU 勒索软件 |
| 感染症状 | 锁定的文件、奇怪的扩展名、文件夹中的勒索文本 |
| 冲击 | 文件加密、备份销毁、勒索赎金 |
| 感染媒介 | 垃圾邮件、破解软件、木马、恶意网站 |
| 风险等级 | 危急 |
| 去除溶液 | SpyHunter 下载间谍猎人 |
深入探究:勒索软件的工作原理
它如何进入系统?
备份 Airmail CC 勒索软件通常通过带有恶意附件或链接的网络钓鱼电子邮件潜入系统。其他途径包括捆绑的免费软件安装程序、点对点文件共享平台或虚假更新。在大多数情况下,受害者会被诱骗启动可执行文件,然后在后台静默安装勒索软件。
感染后会发生什么?
一旦执行,勒索软件就会扫描系统,查找要加密的文件,包括文档、档案、图片、视频等等。然后,它会使用 AES 或 RSA 加密算法对文件进行加密,并附加新的文件扩展名,通常为 .BACKUPS 或类似的变体。影子副本和恢复点通常会被删除,以确保用户无法简单地恢复数据。
加密后,恶意软件会将一个名为 _readme.txt 每个文件夹中都包含加密内容。该通知包含付款指示和联系信息,促使受害者向攻击者在 airmail.cc 上托管的某个地址发送电子邮件。
赎金记录内容
以下是赎金通知中通常会显示的内容 _readme.txt:
注意!
别担心,您可以归还所有文件!
您的所有文件(如照片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。
恢复文件的唯一方法是为您购买解密工具和唯一密钥。
该软件将解密您所有的加密文件。
要获得此软件,您需要在我们的电子邮件中写信: spysecurelab@airmail.cc
预留电子邮件地址与我们联系: securehunter@airmail.cc
在信中写下您的个人身份……
这些恐吓策略旨在吓唬用户支付赎金——通常是数百美元的加密货币。
你应该担心吗?
是的,这种威胁极其严重。一旦你的文件被加密,除非你有安全的备份,否则你的选择非常有限。即使你考虑支付赎金,也无法保证攻击者会发送一个有效的解密器。
主要风险包括:
- 重要文件永久丢失
- 金融勒索
- 如果系统仍未受到保护,可能会再次感染
- 删除恢复数据(影子卷、还原点)
最安全的方法是立即删除勒索软件并依靠外部备份进行文件恢复。
手动删除勒索软件指南
警告: 手动删除既复杂又有风险。如果操作不正确,可能会导致数据丢失或勒索软件删除不完整。只有高级用户才能使用此方法。如果不确定,请继续 方法 2(SpyHunter 删除指南)。
步骤 1:断开互联网连接
- 拔下以太网电缆 or 断开 Wi-Fi 立即阻止与勒索软件的命令和控制 (C2) 服务器的进一步通信。
第 2 步:启动进入安全模式
对于Windows用户:
- 对于Windows 10,11:
- 媒体中心 Windows + R的,类型
msconfig,并击中 输入. - 去 开机 标签。
- 确保 安全启动 并选择 网络.
- 点击 在断裂前, 以及 OK,然后重新启动您的 PC。
- 媒体中心 Windows + R的,类型
- 对于Windows 7,8:
- 重新启动电脑并 反复按 F8 在 Windows 加载之前。
- 从我们的数据库中通过 UL Prospector 平台选择 带网络连接的安全模式 并按下 输入.
对于Mac用户:
- 重新启动 Mac 并 立即按住 Shift 键.
- 看到 Apple 标志后松开按键。
- 您的 Mac 将启动于 安全模式.
步骤 3:找到并终止恶意进程
对于Windows用户:
- 媒体中心 按Ctrl + Shift + Esc键 打开 Task Manager.
- 寻找具备 可疑进程 (例如,未知的名称、高 CPU 使用率或随机字母)。
- 右键单击该进程并选择 结束任务.
对于Mac用户:
- 可选 活动监视器 (Finder > 应用程序 > 实用程序 > 活动监视器)。
- 寻找不寻常的过程。
- 选择进程并单击 强制退出.
步骤 4:删除恶意文件
对于Windows用户:
- 媒体中心 Windows + R的,类型
%temp%,并击中 输入. - 删除 Temp 文件夹中的所有文件。
- 导航到:
C:\Users\[Your Username]\AppData\RoamingC:\Users\[Your Username]\AppData\LocalC:\Windows\System32
- 查找与勒索软件相关的可疑文件(随机文件名、最近修改过)以及 删除它们.
对于Mac用户:
- 可选 发现者 和去 转到>转到文件夹.
- 类型
~/Library/Application Support并删除可疑文件夹。 - 导航
~/Library/LaunchAgents并删除未知.plist文件。
步骤 5:从注册表或系统设置中删除勒索软件
对于Windows用户:
警告: 注册表编辑器中的错误更改可能会损坏您的系统。请谨慎操作。
- 媒体中心 Windows + R的,类型
regedit,并击中 输入. - 导航到:
HKEY_CURRENT_USER\SoftwareHKEY_LOCAL_MACHINE\Software
- 查找不熟悉的文件夹 随机字符 or 勒索软件相关名称.
- 右键单击并选择 删除.
对于Mac用户:
- 在MyCAD中点击 软件更新 系统偏好设置>用户和组.
- 点击 登录项 并删除任何可疑的启动项。
- 导航
~/Library/Preferences并删除恶意.plist文件。
步骤 6:使用系统还原 (Windows) 或 Time Machine (Mac) 还原系统
对于Windows用户:
- 媒体中心 Windows + R的,类型
rstrui,并击中 输入. - 点击 下一篇,选择感染之前的还原点,然后按照提示恢复系统。
对于Mac用户:
- 重新启动 Mac 并按住 命令+ R 进入 macOS公用程序.
- 从我们的数据库中通过 UL Prospector 平台选择 从Time Machine备份还原.
- 选择勒索软件感染之前的备份并恢复系统。
步骤 7:使用解密工具(如果可用)
- 访问 没有更多的赎金 (www.nomoreransom.org)并检查 解密工具 适用于你的勒索软件变种。
步骤 8:使用备份恢复文件
- 如果你有备份 外部驱动器或云存储,恢复您的文件。
使用 SpyHunter 自动删除勒索软件
如果手动删除看起来风险太大或太复杂,可以使用 可靠的反恶意软件工具,例如 SpyHunter 是最好的选择。
步骤1:下载SpyHunter
从官方链接下载 SpyHunter: 下载间谍猎人
或者按照此处的官方安装说明进行操作:
SpyHunter 下载说明
步骤 2:安装 SpyHunter
- 打开下载的文件(
SpyHunter-Installer.exe). - 按照屏幕上的提示安装程序。
- 安装后,启动 SpyHunter.
步骤 3:执行完整系统扫描
- 点击 立即开始扫描.
- SpyHunter 将 扫描勒索软件 和其他恶意软件。
- 等待扫描完成。
第 4 步:删除检测到的威胁
- 扫描后,SpyHunter 将列出所有检测到的威胁。
- 点击 修复威胁 删除勒索软件。
步骤 5:使用 SpyHunter 的恶意软件帮助台(如果需要)
如果你正在处理一个 顽固 勒索软件变种,SpyHunter 的 恶意软件帮助台 提供 自定义修复 消除高级威胁。
第 6 步:恢复您的文件
如果您的文件已加密:
- 尝试 没有更多的赎金 (www.nomoreransom.org) 获取解密工具。
- 从还原 云存储或外部备份.
预防未来的勒索软件攻击
- 将备份保存在 外部硬盘或云存储.
- 绝大部分储备使用 SpyHunter 在威胁感染您的系统之前检测出它们。
- 启用 Windows Defender的 或者 值得信赖的防病毒程序.
- 避免可疑的电子邮件、附件和链接。
- 更新 Windows、macOS 和软件 定期。
结语
备份 Airmail CC 勒索软件是一种攻击性极强的恶意软件变种,它会加密文件,并通过托管在 airmail.cc 上的电子邮件索要赎金。它使用强加密技术,删除恢复点,并利用受害者的绝望心理进行攻击。支付赎金风险较高,不建议这么做。最好的防御措施是预防、安全备份和可靠的恶意软件清除工具。
为了彻底消除威胁,我们建议使用值得信赖的恶意软件清除实用程序 SpyHunter。
