.tron后缀勒索病毒如何删除 .tron勒索病毒数据恢复 (Dharma)

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/qq_38466993/article/details/83868076

本文深入介绍.tron文件病毒引起的问题，并提供有关如何从受感染的PC中删除恶意文件以及恢复由此勒索软件加密的文件的完整指南。

加密病毒.tron感染计算机系统，旨在编码数据并勒索受害者的赎金。如果您的计算机受到此勒索软件的影响，则在使用可以恢复其原始代码的高效恢复解决方案之前，您将无法打开有价值的文件。

名称	.tron后缀勒索病毒
类型	勒索软件，Cryptovirus
简短的介绍	Dharma勒索软件被用来困扰计算机系统，破坏存储在他们身上的有价值文件，黑人受害者向黑客支付赎金。
症状	重要文件已加密并标有.tron后缀扩展名。在代码恢复到原始状态之前，您无法打开它们。屏幕上出现一张ranson笔记，用于勒索赎金以进行解密。
分配方法	垃圾邮件，电子邮件附件，损坏的网页

.tron勒索病毒 - 分发

几种传播技术很可能被用于.tron加密病毒的攻击活动。作为主要的人被认为是所谓的malspam。黑客经常将他们的恶意代码嵌入到各种常用类型的文件中。Malspam让黑客能够以电子邮件附件的形式轻松传播这些受感染的文件，这样就会诱使用户使用.tron勒索软件感染他们的系统。

因此，您最近收到的合法电子邮件附带了附件，并被欺骗下载并在您的设备上启动附加文件，您可能无意中感染了您的系统并带有这种破坏性威胁。

各种常见的文件类型（如文档，PDF，图像）可以转换为勒索软件代码的载体。

这些文件通常显示如下：

• 来自信誉良好的网站的发票，如PayPal，eBay等。
• 来自似乎是受害者银行的文件。
• 在线订单确认单。
• 收货购买。
• 其他。

Darma .tron的作者也可能通过欺骗您点击已损坏网页的URL来使您受害。这些页面可以设置为在您在浏览器中加载它们时触发偷渡式下载攻击。此攻击利用现有的浏览器漏洞，直接在您的设备上传播恶意文件。因此，建议对所有已安装的Web浏览器进行修补，并使所有下载的浏览器应用程序运行其最新版本。

.tron勒索病毒 - 概述

发现于2016年，Dharma勒索软件是最受欢迎的恶意感染之一，仍在骚扰全球的计算机用户。自从在野外发现它的第一次迭代以来，许多其他变种在大规模攻击活动中被释放。正如安全专家所指出的那样，所谓的.tron文件病毒是目前感染在线用户的最新的Dharma勒索软件之一。就像它的前辈一样Dharma .combo，Dharma .bip和Dharma .adobe，该病毒旨在在系统上建立其恶意文件并运行它们以实现重大的系统更改，而不会被主动安全措施检测到。

有几个常见的系统文件夹，其中经常存储勒索软件文件：

• %Roaming%
• %Windows%
• %AppData%
• %Local%
• %Temp%

由于.tron勒索病毒是一种具有高度复杂代码的威胁，因此它可以使用许多其他系统目录来存储恶意文件和对象。如果您发现很难手动检测并删除所有恶意软件，请不要担心，因为即使对于精通技术的用户来说，这也是一项艰巨的任务。

对.tron样本的分析表明，它是一种威胁，可以访问各种系统组件，以完成其主要目的 - 数据加密。因此，在加密阶段之前，勒索软件操纵合法的系统进程，劫持其功能，在命令控制面板中输入各种复杂的命令，并在注册表编辑器中应用更改。

在完成所有需要的更改后可以观察到的问题包括在每个系统启动时自动执行.tron文件病毒。如何实现这一点是通过在Run和RunOnce注册表子键下添加其恶意值。

→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ 
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \

通过操纵他们的功能，Dharma .tron勒索软件也可以在屏幕上打开其赎金消息。该消息包含在名为xtron@cock.li的文件中

 

此时，没有关于所需赎金金额的信息。黑客会希望它转移到他们的比特币地址。无论金额多少，我们建议您避免与他们联系，因为这只会导致进一步的安全相关问题和金钱损失。

.tron勒索病毒 - 加密过程

为什么你不能打开.tron文件？因为它们的原始代码在加密过程中通过复杂的密码算法进行了转换。在Dharma .tron勒索软件激活其内置加密模块后，它使所有重要文件无用，并勒索赎金以进行解密。

以下是此勒索软件可能损坏的所有文件：

• 音频文件
• 视频文件
• 文档文件
• 图像文件
• 备份文件
• 银行凭证等

加密后，这些文件的名称也与初始文件的名称不同。对.tron病毒样本的分析表明，它被配置为通过遵循以下模式重命名已损坏的文件：

• .id- [您唯一生成的ID].[xtron@cock.li].tron

要删除.tron勒索病毒并恢复.tron勒索病毒感染的文件，请执行以下步骤：

1.以安全模式启动PC以隔离和删除.tron文件病毒文件和对象

对于Windows XP，Vista和7系统：

1.删​​除所有CD和DVD，然后从“ 开始 ”菜单重新启动PC 。
2.

- 对于具有单个操作系统的PC：在计算机重新启动期间出现第一个引导屏幕后，反复按“ F8 ”。如果Windows徽标出现在屏幕上，则必须再次重复相同的任务。

- 对于具有多个操作系统的PC：箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述，按“ F8 ”。

 

3.出现“ 高级启动选项 ”屏幕时，使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机，当您的计算机处于安全模式时，屏幕的所有四个角都会出现“ 安全模式 ” 字样

4.修复由PC上的恶意软件和PUP创建的注册表项。某些恶意脚本可能会修改计算机上的注册表项以更改不同的设置。这就是建议清理Windows注册表数据库的原因。由于有关如何执行此操作的教程有点长，如果操作不当，篡改注册表可能会损坏您的计算机，如果您在该领域缺乏经验，可参考链接 修复由恶意病毒软件引起的Windows注册表错误

 

2.在PC上查找.tron Files Virus创建的文件

在较旧的Windows操作系统中，传统方法应该是有效的方法：

1.单击“ 开始菜单”图标（通常在左下角），然后选择“ 搜索”首选项。

2.出现搜索窗口后，从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。

3.之后，键入要查找的文件的名称，然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件，可以通过右键单击来复制或打开其位置。现在，您应该能够在Windows上发现任何文件，只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。

3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序

4.尝试恢复.tron Files Virus加密的文件

勒索软件感染和.tron文件病毒旨在使用加密算法加密您的文件，这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住，这些方法可能不是100％有效，但也可能在不同情况下帮助您一点或多少。

方法1：使用数据恢复软件扫描驱动器的扇区。

方法2：尝试杀毒软件的解密器。

方法3：在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。

.combo勒索病毒删除+数据恢复（卸载+恢复指南）可参照链接

关注服务号，交流更多解密文件方案和恢复方案：

阅读更多