如何徹底清除*.OSIRIS - Ransomware Locky病毒？

如果您開啟任何單一文檔，並且看到該文檔的副檔名是[8_random_characters]-[4_random_characters]-[4_random_characters]-[8_random_characters]-[12_random_characters].osiris。您的電腦很可能已受到 Locky 勒索軟體的攻擊。

為了更好地了解勒索軟體，讀者可以在此處參考更多資訊。

Locky是檔案加密勒索軟體，它會使用RSA-2048金鑰（AES CBC 256-加密演算法位元）對其在受其攻擊的「受害者」電腦上偵測到的個人文件進行加密，然後顯示一則訊息說要解密您需要支付大約 2.5 個比特幣或大約 1880 美元的資料費用。

這些指令在受害者的電腦上「打包」為 3 個檔案：OSIRIS.html、OSIRIS_ [4_digit_number].html和OSIRIS.bmp。

1. Locky OSIRIS 勒索軟體如何攻擊您的電腦？

Locky 勒索軟體透過包含附件或惡意網站連結的垃圾郵件進行「分發」。網路犯罪分子是帶有虛假標頭訊息的垃圾郵件，欺騙用戶相信這是來自 DHL 或 FedEx 公司的電子郵件。

或者在安裝某些軟體時，使用者在不知情的情況下無形地安裝了額外的假軟體。

2. OSIRIS – Locky 勒索軟體是什麼？

Locky勒索軟體針對所有版本的Windows，包括Windows 10、Windows Vista、Windows 8和Windows 7。這類勒索軟體使用相當特殊的方式來加密使用者文件，它使用AES-265和RSA加密方法確保受害者不會選擇。

當 Locky 勒索軟體安裝在您的電腦上時，它會在%AppData" 資料夾或 %LocalAppData" 資料夾中建立隨機可執行檔名稱。此可執行檔案啟動並開始掃描電腦上的所有磁碟機以加密資料檔案。

勒索軟體鎖定將搜尋具有特定副檔名的檔案進行加密。它加密的文件包括文件和重要文件，例如 .doc、.docx、.xls、.pdf 等。當偵測到檔案時，它會為檔案名稱新增新的副檔名（ezz、.exx、.7z.加密）。

以下是勒索軟體針對的檔案副檔名清單：

.sql、.mp4、.7z、.rar、.m4a、.wma、.avi、.wmv、.csv、.d3dbsp、.zip、.sie、.sum、.ibank、.t13、.t12、.qdf 、.gdb、.tax、.pkpass、.bc6、.bc7、.bkp、.qic、.bkf、.sidn、.sidd、.mddata、.itl、.itdb、.icxs、.hvpl、.hplg、. hkdb、.mdbackup、.syncdb、.gho、.cas、.svg、.map、.wmo、.itm、.sb、.fos、.mov、.vdf、.ztmp、.sis、.sid、.ncf、 .menu、.layout、.dmp、.blob、.esm、.vcf、.vtf、.dazip、.fpk、.mlx、.kf、.iwd、.vpk、.tor、.psk、.rim、.w3x 、.fsh、.ntl、.arch00、.lvl、.snx、.cfr、.ff、.vpp_pc、.lrf、.m2、.mcmeta、.vfs0、.mpqge、.kdb、.db0、.dba、. rofl、.hkx、.bar、.upk、.das、.iwi、.litemod、.asset、.forge、.ltx、.bsa、.apk、.re4、.sav、.lbf、.slm、.bik、 .epk、.rgss3a、.pak、.big、錢包、.wotreplay、.xxx、.desc、.py、.m3u、.flv、.js、.css、.rb、.png、.jpeg、.txt、 .p7c、.p7b、.p12、.pfx、.pem、.crt、.cer、.der、.x3f、.srw、.pef、.ptx、.r3d、.rw2、.rwl、.raw、.raf 、.orf、.nrw、.mrwref、.mef、.erf、.kdc、.dcr、.cr2、.crw、.bay、.sr2、.srf、.arw、.3fr、.dng、.jpe、. jpg、.cdr、.indd、.ai、.eps、.pdf、.pdd、.psd、.dbf、.mdf、.wb2、.rtf、.wpd、.dxg、.xf、.dwg、.pst、 .accdb、.mdb、.pptm、.pptx、.ppt、.xlk、.xlsb、.xlsm、.xlsx、.xls、.wps、.docm、.docx、.doc、.odb、.odc、.odm 、.odp、.ods、.odt

使用 .osiris 副檔名加密檔案後，Locky 勒索軟體可以為 Windows 電腦上包含加密檔案的每個資料夾建立 OSIRIS.html 、 OSIRIS_[4_digit_number].html或OSIRIS.bmp 檔案。

這些檔案位於包含加密檔案的每個資料夾以及啟動資料夾中，其中包含使用者登入時自動顯示的程式。這些文件將包含有關如何存取付款網站和取回文件的資訊。

在大多數情況下，Locky 勒索軟體會劫持 .EXE 副檔名，當您啟動執行檔時，它會嘗試刪除電腦上的影集副本。

完成資料檔案的加密後，它將刪除您電腦上的所有捲影副本。它不允許使用者使用卷影卷副本來恢復加密的檔案。

3.您的電腦是否受到Locky - OSIRIS勒索軟體攻擊？

當勒索軟體 Lock 攻擊您的電腦時，它會掃描系統上的所有磁碟機以查找其目標文件，加密這些文件，並為文件添加 .osiris 副檔名。

文件加密後，您將無法再使用通常開啟文件的相同程式開啟它們。此外，當 Locky 勒索軟體完成受害者文件的加密後，它還會更改受害者電腦上的桌布。

它還會在您的預設瀏覽器中以 HTML 形式顯示勒索資訊。這些說明包括有關如何連接到解密服務的說明，您可以在其中了解有關文件發生的情況以及如何付款的更多資訊。

勒索軟體 Locky 將顯示以下訊息：

重要資訊！！！

您的所有檔案均使用 RSA-2048 和 AES-128 密碼進行加密。

有關 RSA 和 AES 的更多資訊可以在此處找到：

hxxps://en.wikipedia.org/wiki/RSA_(加密系統)

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

只有使用位於我們秘密伺服器上的私鑰和解密程式才能解密您的檔案。

若要接收您的私鑰，請點擊以下連結之一：

[編輯]

如果所有這些位址都不可用，請按照下列步驟操作：

1.下載並安裝Tor瀏覽器：hxxps://www.torproject.org/download/download-easy.html

2.安裝成功後，執行瀏覽器並等待初始化。

3. 在網址列中輸入：[edited]

4. 按照網站上的說明進行操作。

！！！您的個人識別 ID：[已編輯]

4.Locky勒索軟體加密的檔案是否可以解密？

截至目前，無法恢復使用 .osiris 副檔名加密的檔案。

Locky 勒索軟體最顯著的特點是它加密使用者檔案的方式。具體來說，它使用 AES-265 和 RSA 加密方法——確保「受攻擊」的用戶除了購買私鑰之外別無選擇。

RSA公鑰可以用其對應的私鑰來解密。原因是因為使用 RSA 加密時 AES 金鑰是隱藏的，而且 RSA 私鑰不可用，因此解密檔案是不可行的。

由於需要私鑰來解鎖加密文件，而這些文件可以透過網路犯罪獲得，因此受害者可能會被誘騙購買並支付高昂的費用。

4.1.使用該軟體恢復被Locky勒索軟體加密的文件

選項 1：使用 ShadowExplorer 恢復被 Locky 勒索軟體加密的文件

1. 將ShadowExplorer下載到您的電腦並安裝。

將 ShadowExplorer 下載到您的裝置並在此處安裝。

2. 下載並安裝ShadowExplorer後，您可以參考以下影片中使用ShadowExplorer恢復檔案的說明：

選項 2. 使用檔案復原軟體復原 .osiris 副檔名加密的文件

當 .osiris 副檔名加密任何文件時，它會先複製該文件，加密它複製的文件，然後刪除原始文件。因此，要修復由 .osiris 副檔名加密的文件，您可以使用文件復原軟體，例如：

• 雷庫瓦：

將 Recuva 下載到您的裝置並在此安裝。

請參閱下面影片中使用 Recuva 恢復加密檔案的步驟：

• EaseUS資料復原精靈免費：

將免費的 EaseUS 資料復原精靈下載到您的電腦並在此安裝。

• R-工作室：

將 R-Studio 下載到您的裝置並在此安裝。

5. 如何刪除.osiris副檔名？

步驟 1：使用 Malwarebytes Anti-Malware Free 刪除「您的個人檔案已加密」病毒

Malwarebytes Anti-Malware Free 是免費軟體，可協助偵測和移除惡意軟體（惡意軟體）的痕跡，包括蠕蟲、木馬、rootkit、流氓程式、撥號程式、間諜軟體和其他一些軟體。

Malwarebytes Anti-Malware 與其他防毒軟體並行運作而不發生衝突非常重要。

1. 將 Malwarebytes Anti-Malware Free 下載到您的電腦並安裝。

將 Malwarebytes Anti-Malware Free 下載到您的裝置並在此處安裝。

2. 下載完成後，關閉所有程序，然後雙擊名為mbam-setup的圖示啟動 Malwarebytes Anti-Malware 安裝過程。

此時，螢幕上會出現「使用者帳戶控制」對話框，詢問是否要執行該檔案。點選“是”繼續。

3. 開始安裝程序時，螢幕上會出現 Malwarebytes Anti-Malware 安裝精靈窗口，請依照螢幕上的指示安裝 Malwarebytes Anti-Malware。

要安裝 Malwarebytes Anti-Malware，請按一下「下一步」按鈕，直到出現最後一個窗口，然後按一下「完成」。

4. 安裝完成後，Malwarebytes Anti-Malware 將自動開啟。若要開始系統掃描流程，請按一下「立即掃描」按鈕。

5. Malwarebytes Anti-Malware 將開始掃描您的電腦以尋找並刪除 .osiris 惡意軟體。

6. 進程結束後，螢幕上會出現一個窗口，顯示 Malwarebytes Anti-Malware 偵測到的惡意軟體（惡意軟體）。若要移除 Malwarebytes Anti-Malware 偵測到的惡意軟體和程序，請按一下刪除所選按鈕。

7. Malwarebytes Anti-Malware 將「隔離」程式偵測到的所有惡意檔案和登錄項目。在刪除這些檔案的過程中，Malwarebytes Anti-Malware 可能會要求您重新啟動電腦以完成此過程。您的任務是重新啟動電腦以完成該過程。

步驟 2：使用 HitmanPro 刪除 Locky 勒索軟體

HitmanPro 旨在「拯救」您的電腦免受非法進入系統的惡意軟體（例如病毒、木馬、rootkit...）的侵害。 HitmanPro 旨在與其他安全軟體並行工作，而不會造成衝突。該程式將在 5 分鐘內掃描您的計算機，並且不會減慢您的計算機速度。

1. 將 HtmanPro 下載到您的電腦並安裝。

將 HtmanPro 下載到您的裝置並在此處安裝。

2. 雙擊名為「HitmanPro.exe」（如果使用 32 位元版本的 Windows）或「HitmanPro_x64.exe」（如果使用 64 位元版本的 Windows）的檔案。

按一下「下一步」在您的電腦上安裝 HitmanPro。

3. HitmanPro 將開始掃描您的電腦以尋找並刪除惡意檔案。

4. 進程結束後，螢幕上會出現一個窗口，其中包含 HitmanPro 發現的所有惡意程式的清單。按一下「下一步」刪除系統上的惡意軟體。

5. 點擊「啟動免費許可證」按鈕，免費試用程式 30 天，並從您的電腦中刪除所有惡意檔案。

6. 如何保護您的電腦免受Locky勒索軟體的侵害？

為了保護您的電腦免受 Locky 勒索軟體的侵害，最好在電腦上安裝防毒程式並定期備份您的個人資料。此外，您還可以使用一些程式（例如HitmanPro.Alert）來防止惡意程式和軟體（惡意軟體）加密系統上的檔案。

請參閱以下影片中下載並安裝HitmanPro.Alert的步驟：

請參閱此處一些適用於 Windows 電腦的最有效的防毒軟體。

更多的文章可以參考下面的文章：

• 如何處理「刪除惡意軟體後無法上網」錯誤？

• 如何刪除 Chrome、Firefox、IE 和 Edge 瀏覽器上不需要的工具列？

• 清除攻擊 Windows 電腦的「啟動此版本的 Windows」病毒的步驟

祝你好運！