｛CALLMEGOAT@PROTONMAIL.COM}CMG”后缀勒索病毒

一般来说，像.{callmegoat@protonmail.com}CMG这样的密码病毒通过垃圾邮件发送到计算机设备上。***经常选择这种传播方法的原因是他们的目标是尽可能多地吸引用户。

一旦此类电子邮件出现在您的收件箱中，它就会尝试诱骗您在设备上执行勒索软件代码。这就是为什么这些电子邮件经常成为合法网站，服务甚至政府机构的代表。

从触发感染过程的恶意代码开始，它可以作为文件附件（文档，图像，PDF，存档等）或URL地址引入。

目前，***活动可能针对全球用户。下载电子邮件附件并在PC上打开后会发生什么情况是激活勒索软件有效负载。

可能出现在勒索软件传播活动的电子邮件部分中的另一个恶意元素是URL地址，其形式为文本内链接，按钮，优惠券，横幅，图像或其他可点击形式。此URL地址后面的页面加载再次导致CALLMEGOAT勒索软件负载的未被注意的执行。

后缀.{callmegoat@protonmail.com}CMG勒索病毒 - 概述
后缀.{callmegoat@protonmail.com}CMG勒索病毒是最近发现的GlobeImposter系列。此威胁旨在***Windows操作系统，困扰其一些基本设置，然后到达某些文件以使用强密码算法对其进行编码。在数据加密之后，它试图通过在屏幕上加载赎金消息来勒索您支付赎金费用。

首次启动系统时，它会在以下目录中创建一堆恶意文件：

%AppData%
%Local%
%LocalLow%
%Roaming%
%Temp%
然后，勒索软件可以访问注册表编辑器，以在某些注册表子键下添加恶意值。这些密钥很可能是Run和RunOnce，因为它们管理每个系统启动时主系统进程和启动程序的自动执行。通过在这些密钥下添加恶意值.{callmegoat@protonmail.com}CMG加密病毒确保其在系统上的持久存在。

您可以通过在计算机屏幕上加载赎金消息来识别最终***阶段。此消息的目的是说服您联系***，以便您可以收到有关赎金支付流程的更多详细信息。请注意，他们可能会欺骗你为一个破解的解密工具付钱，这个工具无法恢复锁定的文件，甚至在你转移赎金后跳过回答你的问题。为了您的安全起见，我们建议您在以下指南的帮助下避免与***联系并尝试恢复您的PC和数据。

后缀.{callmegoat@protonmail.com}CMG勒索病毒 - 加密过程
GlobeImposter的这个迭代称为.{callmegoat@protonmail.com}CMG勒索病毒利用强密码算法在到达数据加密***阶段后立即加密预定义的文件类型。

首先，勒索软件扫描系统以查找可能存储有价值信息的文件，例如文档，视频，图片，文本文件，数据库，项目等。然后它转换他们的代码并使它们无法使用。

由于加密病毒修改了目标文件的原始代码，因此加密后它们会完全失灵。所有加密文件都会收到特定的扩展名。.{callmegoat@protonmail.com}CMG名称末尾。在为其恢复应用适当的解决方案之前，损坏的文件仍然无法使用。

为了防止其中一个可用的数据恢复选项，勒索软件删除存储在Windows操作系统中的所有Shadow Volume Copies。

删除.{callmegoat@protonmail.com}CMG勒索病毒并尝试恢复数据
所谓的.{callmegoat@protonmail.com}CMG勒索病毒是一种具有高度复杂代码的威胁，旨在破坏系统设置和有价值的数据。因此，再次以安全方式使用受感染系统的唯一方法是删除勒索软件创建的所有恶意文件和对象。为此，您可以使用我们的删除指南，了解如何逐步清理和保护您的系统。此外，在本指南中，您将找到几种替代数据恢复方法，这些方法可能有助于尝试恢复由GlobeImposter加密的文件.{callmegoat@protonmail.com}CMG勒索软件。我们提醒您在恢复过程之前将所有加密文件备份到外部驱动器。

1.以安全模式启动PC以隔离和删除.{callmegoat@protonmail.com}CMG文件病毒文件和对象
对于Windows XP，Vista和7系统：

1.删​​除所有CD和DVD，然后从“ 开始 ”菜单重新启动PC 。
2.选择以下两个选项之一：

- 对于具有单个操作系统的PC：在计算机重新启动期间出现第一个引导屏幕后，反复按“ F8 ”。如果Windows徽标出现在屏幕上，则必须再次重复相同的任务。

- 对于具有多个操作系统的PC：箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述，按“ F8 ”。

3.出现“ 高级启动选项 ”屏幕时，使用箭头键选择所需的安全模式选项。在进行选择时，按“ Enter ”。

4.使用管理员帐户登录计算机。当您的计算机处于安全模式时，屏幕的所有四个角都会出现“ 安全模式 ” 字样。

5.修复PC上恶意软件和PUP创建的注册表项。某些恶意脚本可能会修改计算机上的注册表项以更改不同的设置。这就是建议清理Windows注册表数据库的原因。由于有关如何执行此操作的教程有点长，如果操作不当，可能会损坏您的计算机。

2. 在PC上查找由.{callmegoat@protonmail.com}CMG文件病毒创建的文件
在较旧的Windows操作系统中，传统方法应该是有效的方法：

第1步:单击“ 开始菜单”图标（通常在左下角），然后选择“ 搜索”首选项。

第2步:出现搜索窗口后，从搜索助手框中选择“ 更多高级选项 ”。另一种方法是单击“ 所有文件和文件夹”。

第3步:之后，键入要查找的文件的名称，然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件，可以通过右键单击来复制或打开其位置。现在，您应该能够在Windows上发现任何文件，只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。

3.使用SpyHunter防恶意软件工具扫描恶意软件和恶意程序br/>4.尝试恢复由.{callmegoat@protonmail.com}CMG勒索病毒加密的文件
 方法1：使用数据恢复软件扫描驱动器的扇区。

方法2：尝试杀毒软件防恶意软件的解密器。

方法3：使用Shadow Explorer

要在备份设置的情况下恢复数据，在Windows中使用以下软件检查卷影副本（如果勒索软件尚未删除它们）非常重要。

如上述图片所示，该客户数据文件被两次加密，第一层为GANDCRAB V5系列，第二层是我们上述所说的，如果发现中毒，尽量在第一时间做好杀毒工作并备份好加密数据，谨防被多次加密，增加解密的难度和成本。

转载于:https://blog.51cto.com/14137725/2369751