高度威脅
解決辦法:
- 在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用戶必須禁用系統還原以允許對其計算機進行全面掃描。
- 請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、文件夾、登錄檔和條目都安裝在您的電腦上。這可能是由於安裝不完整或其他操作系統條件造成的。如果您沒有找到相同的檔案/文件夾/登錄檔,請繼續下一步。
- 以安全模式重新啟動
- 恢復此修改的登錄檔:
代碼: 選擇全部
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\nokonoko (Default) = Service In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control ServicesPipeTimeout = 86400000
- 刪除該登錄檔:
代碼: 選擇全部
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\nokonoko
- 搜尋並刪除下列檔案:
代碼: 選擇全部
{Encrypted Directory}\NOKONOKO-readme.html
- 以正常模式重新啟動,查找檢測為Ransom.Win32.NOKO.YPDFA 的文件。
- 從備份中恢復加密文件。
該勒索軟體以其他惡意軟體丟棄的文件或用戶在訪問惡意網站時,無意中下載到系統的檔案。它會以丟棄檔案做為勒索點,並會避免加密具有副檔名的檔案。
它會添加以下程序:
代碼: 選擇全部
if --safe-mode commandline parameter is used:
"%System%\bcdedit.exe" /set {default} safeboot network
"%System%\shutdown.exe" -r代碼: 選擇全部
Fixed Drives
Removable Drives
Remote (Network) Drives代碼: 選擇全部
Directories to avoid
File extensions to avoid
Ransom note content
Ransom note filename
Appended extension of encrypted files代碼: 選擇全部
Encryption of network shares
Delete shadow copies
Loading of hidden drivestrendmicro