删除China Lucky系列病毒 后缀.evopro勒索病毒数据恢复方法，解密处理方式

China Lucky系列，也称为.evopro后缀勒索病毒将加密您的数据，并要求金钱作为赎金，以恢复它。文件将作为辅助文件接收.evopro扩展名，而不对加密文件的原始名称进行任何更改。该.evopro文件病毒会留下称为文本文件中的指令勒索_如何解密我的文件_.txt。

名称	.evopro文件病毒
类型	勒索软件，Cryptovirus
简短的介绍	勒索软件通过将.evopro扩展名放在您的计算机系统上来加密文件，并要求支付赎金以据称恢复它们。
症状	勒索软件将对您的文件进行加密，并留下带有付款说明的勒索信。
分配方法	垃圾邮件，电子邮件附件

后缀.evopro勒索病毒（China Lucky） - 分发技术

该.evopro文件勒索软件可能通过不同的战术本身散发。启动恶意脚本的有效负载滴管正在万维网上传播，研究人员已经开始研究恶意软件样本。如果该文件落在您的计算机系统上并且您以某种方式执行它 - 您的计算机设备将被感染。您可以在此处查看VirusTotal服务上此类文件的检测：

在Web上找到的免费软件可以显示为有用，也可以隐藏密码病毒的恶意脚本。下载后立即停止打开文件。您应首先使用安全工具扫描它们，同时还要检查它们的大小和签名以查找看似异常的任何内容。

后缀.evopro勒索病毒（China Lucky） - 技术数据

.evopro文件病毒实际上是勒索软件，所以它会对你的文件进行加密，并打开一张赎金票据，里面有关于受感染计算机的说明。敲诈勒索者希望您支付索赔恢复数据的赎金费用。

.evopro Files Virus可能会在Windows注册表中创建条目以实现持久性，并可以在Windows环境中启动或抑制进程。此类条目通常设计为在每次启动Windows操作系统时自动启动病毒。

加密后，.evopro Files病毒会在文本文件中创建赎金记录。该注释名为_如何解密我的文件_.txt，这是一个变种撒旦Cryptor 2.0，以下电子邮件地址用于联系网络犯罪分子：

• evopro@protonmail.com

即使被出示一张纸条，你应该不是在任何情况下支付任何赎金金额。您的文件可能无法恢复，没有人可以为您提供保证。除此之外，向网络犯罪分子提供资金很可能会激励他们制造更多的勒索软件或犯下不同的犯罪活动。这甚至可能导致您在付款后再次对文件进行加密。

.evopro文件病毒（中国幸运） - 加密过程

.evopro文件勒索软件的加密过程相当简单 - 每个加密的文件都将变得无法使用。锁定后，文件将获得.evopro扩展名。扩展名作为辅助扩展名，不对加密文件的原始名称进行任何更改。

可能加密的文件类型可以来自以下类别：

• 音频文件

• 视频文件

• 文档文件

• 图像文件

• 备份文件

• 银行凭证等

可以将.evopro Files加密病毒设置为借助以下命令从Windows操作系统中清除所有Shadow Volume Copies：

→vssadmin.exe delete shadows /all /Quiet

在执行上述命令的情况下，这将使加密过程的效果更有效。这是因为该命令消除了恢复数据的一种重要方法。如果计算机设备感染了此勒索软件并且您的文件已被锁定，请继续阅读以了解如何将某些文件恢复到正常状态。

删除后缀.evopro勒索病毒（China Lucky）并尝试恢复.evopro后缀文件

如果您的计算机系统感染了.evopro 勒索软件病毒，您应该有一些删除恶意软件的经验。您应该尽快摆脱这种勒索软件，然后才有机会进一步传播并感染其他计算机。

1.以安全模式启动PC以隔离和删除.evopro文件病毒文件和对象

对于Windows XP，Vista和7系统：

1.删除所有CD和DVD，然后从“ 开始 ”菜单重新启动PC 。
2.选择以下两个选项之一：

- 对于具有单个操作系统的PC：在计算机重新启动期间出现第一个引导屏幕后，反复按“ F8 ”。如果Windows徽标出现在屏幕上，则必须再次重复相同的任务。

- 对于具有多个操作系统的PC：箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述，按“ F8 ”。

3.出现“ 高级启动选项 ”屏幕时，使用箭头键选择所需的安全模式选项。在进行选择时，按“ Enter ”。

4.使用管理员帐户登录计算机。当您的计算机处于安全模式时，屏幕的所有四个角都会出现“ 安全模式 ” 字样。

5.修复PC上恶意软件和PUP创建的注册表项。某些恶意脚本可能会修改计算机上的注册表项以更改不同的设置。这就是建议清理Windows注册表数据库的原因。由于有关如何执行此操作的教程有点长，如果操作不当，可能会损坏您的计算机。

2.在PC上查找.evopro后缀勒索病毒创建的文件

适用于较旧的Windows操作系统

在较旧的Windows操作系统中，传统方法应该是有效的方法：

第1步:单击“ 开始菜单”图标（通常在左下角），然后选择“ 搜索”首选项。

第2步:出现搜索窗口后，从搜索助手框中选择“ 更多高级选项 ”。另一种方法是单击“ 所有文件和文件夹”。

第3步:之后，键入要查找的文件的名称，然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件，可以通过右键单击来复制或打开其位置。现在，您应该能够在Windows上发现任何文件，只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。

3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序

4.尝试恢复.evopro后缀勒索病毒加密的文件

方法1：使用数据恢复软件扫描驱动器的扇区。

方法2：尝试杀毒软件的解密器。

方法3：使用Shadow Explorer

要在备份设置的情况下恢复数据，在Windows中使用以下软件检查卷影副本（如果勒索软件尚未删除它们）

方法4：在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。

解密文件的另一种方法是使用网络嗅探器获取加密密钥，同时在系统上加密文件。网络嗅探器是监视通过网络传输的数据的程序和/或设备，例如其互联网流量和互联网数据包。如果在***发生之前设置了嗅探器，则可能会获得有关解密密钥的信息。

关注服务号，交流更多解密文件方案和恢复方案：

转载于:https://blog.51cto.com/14131630/2367269