如何删除 Mimic Ransomware 并恢复受感染的文件

消除加密病毒的简单步骤

Mimic Ransomware 是一种基于揭示的 CONTI ransomware builder 的可怕计算机病毒。 当这个讨厌的软件进入 PC 系统时，它往往会加密存储在用户设备中的所有用户重要文件，并在其名称后附加“.QUIETPLACE”扩展名。 Mimic virus、Pouu Ransomware 等加密恶意软件采用强大的加密算法来锁定目标数据，使它们完全无法访问和使用。 所有这些可恶活动背后的黑客的主要目标是向受害用户勒索巨额赎金。

快速浏览

姓名：Mimic Ransomware

类别：勒索软件、文件锁定病毒、加密病毒

特征：倾向于锁定用户的宝贵数据并迫使他们付费以重新获得对这些文件的访问权限

扩展名：.QUIETPLACE

赎金记录：登录前屏幕上显示的文本和 Decrypt_me.txt

威胁等级：高

罪犯联系方式：Tox chat，@mcdonaldsdebtzhlob 和@pedrolloanisimka (ICQ)，MCDONALDSDEBTZHLOB DECRYPTION (Skype)，[email protected]

渗透方式：通常通过垃圾邮件附件进入PC系统

症状：编码文件、奇怪的扩展名、索要赎金的消息

Mimic Ransomware：深度分析

完成加密后不久，Mimic Ransomware 在登录屏幕和名为“Decrypt_me.txt”的文本文件中显示类似的勒索信息，并告知受害者有关攻击的信息。 这个讨厌的入侵者不仅加密数据，还删除卷影副本并终止多个应用程序和服务，包括 Microsoft Defender。 由于其恶意活动，用户将无法轻松检测和消除这种寄生虫，也无法让 PC 进入睡眠状态或将其关闭。

Mimic Ransomware 显示的勒索字条表明用户的文件已被加密，并指示他们以比特币加密货币向犯罪分子支付赎金以恢复受损数据。 还要求用户联系攻击者并发送唯一 ID。 此外，他们还可以通过发送最多三个受感染的文件来测试解密，骗子将这些文件解码并发回。

应该支付赎金吗？

无论情况如何，您都不应向 Mimic Ransomware 作者支付任何形式的赎金。 这是因为，没有人可以保证您付款后文件会被解码。 此类犯罪分子的倾向是，他们通常会忽视收到资金的受害人。 这也可能发生在你身上； 那么，您准备好在没有解锁重要文件的情况下遭受金钱损失了吗？ 当然不，所以永远不要选择这个选项，而是尽早从计算机中删除 Mimic Ransomware。

如何恢复锁定的数据？

一旦从计算机中清除了讨厌的恶意软件，如果您已经将文件备份到任何外部驱动器或云中，就可以轻松恢复文件。 然而，许多人没有适当的后援，在这种岌岌可危的情况下束手无策。 如果您是其中之一，我们建议您使用我们高效的数据恢复软件，您可以在下方获取该软件。 话虽如此，在此之前，您必须从计算机上一劳永逸地终止 Mimic Ransomware。

加密病毒的渗透：

通常，文件锁定病毒通过垃圾邮件及其恶意附件进入 PC 系统。 网络骗子特别制作网络钓鱼电子邮件，以诱骗收件人下载并打开附件。 他们经常将邮件伪装成来自一些知名公司或其他实体的官方或紧急信件，因此，许多人上当受骗。 一旦打开该恶意文件，就会导致系统下载并安装Mimic Ransomware。 为防止这种情况，您应该避免打开来自未知地址的不相关电子邮件，至少不要在没有从可靠的安全应用程序扫描的情况下探索它们的内容。

经常问的问题

为什么我的文件有唯一的扩展名？

这是因为这些文件已被危险的加密恶意软件锁定，该恶意软件还通过在其名称上附加一个奇怪的扩展名来重命名数据。 之后，无论您做什么或使用什么软件，都无法打开或使用这些文件。

如何打开 .QUIETPLACE 文件？

重新打开这些文件的唯一方法是通过备份恢复它们（如果您在攻击之前创建了任何文件并存储在任何外部位置）。 如果您没有适当的备份，我们建议您使用我们的文件恢复应用程序，该应用程序专为检索受感染或丢失的数据而设计。

赎金记录中的消息：

您的所有文件都已使用我们的病毒加密。

您的唯一 ID：-

您可以购买文件的完全解密

但在您付款之前，您可以确保我们能够真正解密您的任何文件。

加密密钥和 ID 对您的计算机而言是唯一的，因此可以保证您能够归还文件。

去做这个：

1) 发送您的唯一 ID – 以及最多 3 个文件用于测试解密

我们的联系人

1.1)TOX 信使（快速且匿名）

hxxps://tox.chat/download.html

安装qtox

按唱起来

创建自己的名字

按加号

把我的 tox ID 放在那里

95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65

并加我/写消息

1.2)ICQ即时通

24/7 全天候工作的 ICQ 实时聊天 – @mcdonaldsdebtzhlob

在您的 PC 上安装 ICQ 软件 hxxps://icq.com/windows/ 或在您的智能手机上在 Appstore / Google 市场中搜索“ICQ”

写信给我们的 ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob

1.3) 网络电话

麦当劳DEBTZHLOB解密

1.4）邮件（只在紧急情况下写，因为您的电子邮件可能无法送达或进入垃圾邮件）

* [email protected]

在主题行中，请写下您的解密 ID：-

2) 解密后，我们会将解密后的文件和一个独一无二的比特币钱包发送给您，用于支付。

3) 支付比特币赎金后，我们将向您发送解密程序和说明。 如果我们可以解密您的文件，我们就没有理由在付款后欺骗您。

常问问题：

我能得到折扣吗？

不会。赎金金额是根据加密办公文件的数量计算的，不提供折扣。 所有此类消息将被自动忽略。 如果您真的只想要一些文件，请将它们压缩并上传到某个地方。 我们将以 1 个文件 = 1 美元的价格解码它们。

什么是比特币？

阅读 bitcoin.org

在哪里购买比特币？

hxxps://www.alfa.cash/buy-crypto-with-credit-card（最快的方式）

buy.coingate.com

hxxps://bitcoin.org/en/buy

hxxps://buy.moonpay.io

币安网

或使用 google.com 查找购买信息

我将收到我的文件的保证在哪里？

我们可以解密您的随机文件这一事实就是一种保证。 我们欺骗你是没有意义的。

付款后多久能收到密钥和解密程序？

通常，在 15 分钟内

解密程序如何工作？

这很简单。 您需要运行我们的软件。 该程序将自动解密硬盘上的所有加密文件。

マルウェア対策の詳細とユーザーガイド

Windowsの場合はここをクリック
Macの場合はここをクリック

步骤1：通过“带网络连接的安全模式”删除Mimic Ransomware

步骤2：使用“系统还原”删除Mimic Ransomware

步骤1：通过“带网络连接的安全模式”删除Mimic Ransomware

对于Windows XP和Windows 7用户：在“安全模式”下启动PC。单击“开始”选项，然后在启动过程中连续按F8，直到屏幕上出现“ Windows Advanced Option”菜单。从列表中选择“带网络的安全模式”。

现在，Windows Homescren出现在桌面上，并且工作站现在正在“带网络的安全模式”下工作。

对于Windows 8用户：转到“开始屏幕”。在搜索结果中选择设置，键入“高级”。在“常规PC设置”选项中，选择“高级启动”选项。再次，单击“立即重新启动”选项。工作站启动到“高级启动选项菜单”。按“疑难解答”，然后按“高级选项”按钮。在“高级选项屏幕”中，按“启动设置”。再次，单击“重新启动”按钮。现在，工作站将重新启动进入“启动设置”屏幕。接下来是按F5键以在网络安全模式下启动

对于Windows 10用户：按Windows徽标和“电源”图标。在新打开的菜单中，连续按住键盘上的“ Shift”按钮的同时选择“ Restart”。在新打开的“选择选项”窗口中，单击“疑难解答”，然后单击“高级选项”。选择“启动设置”，然后按“重新启动”。在下一个窗口中，单击键盘上的“ F5”按钮。

步骤2：使用“系统还原”删除Mimic Ransomware

登录感染了Mimic Ransomware的帐户。打开浏览器并下载合法的反恶意软件工具。进行完整的系统扫描。删除所有检测到的恶意条目。

如果无法在“带网络连接的安全模式”下启动PC，请尝试使用“系统还原”

1.在“启动”过程中，连续按F8键，直到出现“高级选项”菜单。从列表中选择“带有命令提示符的安全模式”，然后按“ Enter”

2.在新打开的命令提示符下，输入“ cd restore”，然后按“ Enter”。

3.输入：rstrui.exe并按“ ENTER”

4.在新窗口中单击“下一步”

5.选择任何“还原点”，然后单击“下一步”。 （此步骤会将工作站恢复到其在PC中Mimic Ransomware渗透之前的早期时间和日期。

6.在新打开的窗口中，按“是”。

将PC恢复到以前的日期和时间后，下载推荐的反恶意软件工具并进行深度扫描，以删除Mimic Ransomware文件（如果它们留在工作站中）。

为了通过此勒索软件还原每个（单独的）文件，请使用“ Windows早期版本”功能。在工作站中启用“系统还原功能”时，此方法有效。

重要说明：Mimic Ransomware的某些变体也会删除“卷影副本”，因此此功能可能并非一直有效，仅适用于部分计算机。

如何还原单个加密文件：

为了还原单个文件，请右键单击该文件，然后转到“属性”。选择“以前的版本”标签。选择一个“还原点”，然后单击“还原”选项。

为了访问由Mimic Ransomware加密的文件，您也可以尝试使用“ Shadow Explorer”。 （http://www.shadowexplorer.com/downloads.html）。为了获得有关此应用程序的更多信息，请按此处。 （http://www.shadowexplorer.com/documentation/manual.html）

重要信息：数据加密勒索软件非常危险，因此最好还是采取预防措施，以免它攻击您的工作站。建议使用功能强大的反恶意软件工具，以便实时获得保护。在“ SpyHunter”的帮助下，将“组策略对象”植入注册表中，以阻止诸如Mimic Ransomware之类的有害感染。

同样，在Windows 10中，您将获得一个非常独特的功能，称为“ Fall Creators Update”，该功能提供“受控文件夹访问”功能，以阻止对文件的任何加密。借助此功能，默认情况下，存储在“文档”，“图片”，“音乐”，“视频”，“收藏夹”和“桌面”文件夹中的任何文件都是安全的。

在PC中安装此“ Windows 10 Fall Creators Update”非常重要，以保护重要的文件和数据免遭勒索软件加密。这里已经讨论了有关如何获取此更新以及添加附加保护形式rnasomware攻击的更多信息。 （https://blogs.windows.com/windowsexperience/2017/10/17/get-windows-10-fall-creators-update/）

如何恢复Mimic Ransomware加密的文件？

到现在为止，您应该已经了解到已加密的个人文件中所隐藏的内容，以及如何删除与Mimic Ransomware相关联的脚本和有效负载，以保护到目前为止尚未损坏或加密的个人文件。为了检索锁定的文件，与“系统还原”和“卷影副本”有关的深度信息已经在前面进行了讨论。但是，如果仍然无法访问加密文件，则可以尝试使用数据恢复工具。

使用数据恢复工具

此步骤适用于已经尝试了上述所有过程但没有找到任何解决方案的所有受害者。能够访问PC并安装任何软件也很重要。数据恢复工具基于系统扫描和恢复算法工作。它搜索系统分区，以找到被恶意软件删除，破坏或损坏的原始文件。请记住，您不得重新安装Windows操作系统，否则“先前”副本将被永久删除。您首先必须清洁工作站并清除Mimic Ransomware感染。保持锁定的文件不变，然后执行以下步骤。

步骤1：点击下面的“下载”按钮，在工作站中下载软件。

步骤2：通过点击下载的文件来执行安装程序。

步骤3：屏幕上会出现一个许可协议页面。单击“接受”以同意其条款和使用。按照上面提到的屏幕说明进行操作，然后单击“完成”按钮。

步骤4：安装完成后，程序将自动执行。在新打开的界面中，选择要恢复的文件类型，然后单击“下一步”。

步骤5：您可以选择要在其上运行软件的“驱动器”，然后执行恢复过程。接下来是单击“扫描”按钮。

步骤6：根据您选择进行扫描的驱动器，还原过程开始。整个过程可能需要一些时间，具体取决于所选驱动器的数量和文件数量。该过程完成后，数据浏览器将出现在屏幕上，并预览要恢复的数据。选择要还原的文件。

第七步接下来是找到要保存恢复的文件的位置。