.Bear勒索病毒如何删除它 .Bear后缀文件如何恢复（Dharma家族）

本文解释了.Bear勒索病毒感染时出现的问题，并提供了有关如何删除恶意文件以及如何可能恢复此勒索软件加密的文件的详细指南。

一个名为.Bear病毒的被发现。正如安全研究人员所确认的那样，它是一种臭名昭着的Dharma加密病毒株。当在目标系统上启动其有效负载文件时，它会触发一系列恶意修改，以便到达主要的感染阶段 - 数据加密。在加密过程中，勒索软件利用复杂的密码算法对存储在受感染设备上的有价值文件进行编码。加密后，您无法访问由损坏的文件存储的信息。如何识别这些文件是通过附加到其原始名称的特定扩展字符串。该字符串以扩展名.Bear后缀结尾。此外，文件FILES ENCRYPTED.txt中包含赎金消息 屏幕上弹出窗口，试图强迫您联系***以获取更多详细信息。

近期发现的Dharma变体包括但不限于: .adobe/ .tron/ .cccmn/ .like/ .gdb/ .xxxxx/  .back/ .AUDIT/ .FUNNY/ .vanss/ .gamma/ .btc/ .bgtx/

名称	.Bear勒索病毒
类型	勒索软件，Cryptovirus
简短的介绍	Dharma勒索软件的一种变体，用于加密有价值的数据并限制对其的访问。
症状	重要文件已损坏，并使用以扩展名.Bear结尾的一系列扩展名重命名。Ransom消息促请您联系***以获取文件恢复说明。
分配方法	垃圾邮件，电子邮件附件

.Bear勒索病毒 - 概述

在系统上启动其有效负载时，会触发.Bear文件病毒感染。它的代码旨在访问各种系统组件并困扰他们的一些设置。结果，勒索软件变得能够逃避主动安全措施并完成***到最后。其目的之一可能是在系统上持续存在。为了完成.Bear病毒可能会在注册表编辑器中存储的特定注册表子键下添加恶意值。

受这种Dharma勒索软件影响的注册表子键很可能是Run and RunOnce。这可以通过以下事实来解释：它们管理自动执行对于正确系统负载至关重要的所有文件和对象。最终，当这些密钥下存在勒索软件值时，每次启动系统时都会执行其感染文件。因此，最好检查以下注册表路径是否存在恶意条目并清除它们，以便能够再次安全地使用您的系统：

→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run 
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

在***结束时.Bear加密病毒已经准备好进行所有系统修改，它会丢弃一个名为FILES ENCRYPTED.txt的TXT文件并在屏幕上打开它。此文件包含赎金消息，敦促您通过邮件与***联系

此时，没有关于所需赎金金额的信息，但猜测是应该用比特币转移。请注意，即使是赎金也不能保证文件恢复。威胁代码中只有一个错误可能导致生成破解的解密密钥。因此，我们建议您尝试使用其他恢复方法来恢复.Bear文件。

删除.Bear文件病毒和还原数据

所谓的.Bear勒索病毒是一种威胁，它具有高度复杂的代码，不仅困扰着你的文件，也困扰着整个系统。因此，您需要在再次定期使用之前正确清理并保护受感染的系统。如果您以前有恶意软件文件的经验，请选择手动删除方法。如果您对手动步骤感到不舒服，可选择自动删除。通过自动步骤，您可以检查受感染的系统中的勒索软件文件，并通过几次鼠标单击删除它们。

为了确保您的系统在将来免受勒索病毒和其他类型的恶意软件的侵害，您应该安装并维护可靠的反恶意杀毒软件程序。可以防止勒索软件***发生的附加安全层。

请注意，在数据恢复过程之前，您应该将所有加密文件备份到外部驱动器，因为这样可以防止其不可逆转的丢失。

删除.Bear勒索病毒并恢复数据请参照以下步骤:

1.以安全模式启动PC以隔离和删除.Bear文件病毒文件和对象

手动删除通常需要时间，如果不小心，您可能会损坏您的文件！

对于Windows XP，Vista和7系统：

1.删除所有CD和DVD，然后从“ 开始 ”菜单重新启动PC 。
2.选择以下两个选项之一：

- 对于具有单个操作系统的PC：在计算机重新启动期间出现第一个引导屏幕后，反复按“ F8 ”。如果Windows徽标出现在屏幕上，则必须再次重复相同的任务。

- 对于具有多个操作系统的PC：箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述，按“ F8 ”。

3.出现“ 高级启动选项 ”屏幕时，使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机。当您的计算机处于安全模式时，屏幕的所有四个角都会出现“ 安全模式 ” 字样

4.修复PC上恶意软件和PUP创建的注册表项。

2.在PC上查找.Bear勒索病毒创建的文件

在较旧的Windows操作系统中，传统方法应该是有效的方法

1.单击“ 开始菜单”图标（通常在左下角），然后选择“ 搜索”首选项

2.出现搜索窗口后，从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。

3.之后，键入要查找的文件的名称，然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件，可以通过右键单击来复制或打开其位置。现在，您应该能够在Windows上发现任何文件，只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。

3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序

4.尝试还原.Bear 勒索病毒加密的文件

勒索软件感染和.Bear文件病毒旨在使用加密算法加密您的文件，这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住，这些方法可能不是100％有效，但也可能在不同情况下帮助您一点或多少。

方法1：使用数据恢复软件扫描驱动器的扇区。

方法2：尝试杀毒软件的解密器。

方法3：使用Shadow Explorer

方法4：在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。

删除GANDCRAB v5.0.6勒索病毒 - GANDCRAB v5.0.6还原文件 可参照链接

关注服务号，交流更多解密文件方案和恢复方案：

转载于:https://blog.51cto.com/14046667/2318989