本文解释了.fire勒索病毒出现的问题，并提供了有关如何删除恶意文件以及如何可能恢复此勒索软件加密的文件的详细指南。

最近安全研究员发现了一个名为.fire的勒索病毒。此威胁会感染某些主要系统设置，以便加密存储在受感染设备上的有价值数据。正如安全研究人员所确认的那样，它属于臭名昭着的Dharma勒索软件家族。如果感染.fire勒索软件，您将无法访问使用相同名称的扩展名重命名的文件存储的数据。此外，您还可以看到屏幕上显示赎金消息。

.fire勒索病毒 - 分发

分发恶意代码的电子邮件垃圾邮件活动很可能是.fire勒索病毒作者使用的主要感染媒介。众所周知，我们每天都会在收件箱中收到许多电子邮件。在所有垃圾邮件中，我们看到了很多重要的细节。例如，我们收到发票，银行文件，工作文件以及我们收到后通常会打开的其他数据。不幸的是，这种行为模式是成功勒索软件***活动的关键。

除了我们在电子邮件通信中看到的所有紧急数据外，我们还可以收到破坏性恶意软件威胁的激活码。但是，当最近收到的电子邮件的内容危及设备和数据的安全性时，并不总是很容易识别。***经常扮演合法机构或消费者服务的代表，并提供欺骗性的电子邮件地址。通过这样做，他们希望欺骗我们遵循他们作为短信提供的指示，并最终在我们的设备上触发他们的恶意代码。

勒索软件通常所在的位置是附加文件或电子邮件中显示的受感染网页链接。

.fire勒索病毒 - 概述

所谓的.fire勒索病毒以相同名称的扩展名命名，该扩展名附加到由此威胁加密的所有文件。曾对其样本进行分析的安全研究人员报告说，它属于Dharma勒索软件家族。这个家庭因其全球数千名受害者而臭名昭着。

如果您的系统已被.fire勒索病毒感染，您应该尽快考虑将其彻底删除。以下是为什么建议这样做的一些原因。一旦加载到您的设备上，此威胁会改变一些主要的系统设置并通过几个感染阶段。

在最初的感染阶段，.fire Dharma勒索软件在系统上建立其恶意文件和对象。出于此目的，它可以直接在系统上写入一些文件，也可以从命令和控制服务器下载它们。勒索软件威胁通常使用多个系统文件夹，如.fire，用于存储恶意文件和对象，它们是：

• %Roaming%

• %Windows%

• %AppData%

• %Local%

• %Temp%

当在系统上成功建立这些文件时，勒索软件开始以预定义的顺序执行它们。它们的功能允许它逃避检测，同时成为加载每个系统的所有基本文件的一部分。如何实现第二个是访问注册表编辑器。注册表编辑器是一个分层数据库，其中包含许多注册表项。这些注册表项管理几乎所有系统进程并存储有关用户设置的所有特定设置的脱轨。

通过在注册表子项Run和RunOnce下设置特定的恶意值，.fire文件病毒在每次启动受感染的操作系统时都能够加载其感染文件。因此，对于完全删除，您应该检查您的注册表是否有恶意条目并清除所有有害值。

.fire勒索病毒 - 加密过程

在.fire勒索病毒准备好所有恶意系统修改之后会发生什么是数据加密过程。为此，勒索软件推出了内置的加密模块。这种机制使它能够转换目标文件原始代码的一部分，从而使它能够勒索你的赎金。

不幸的是，包含敏感数据的所有文件都可能位于.fire文件病毒的目标数据列表中。最终，您可能会发现以下所有类型的文件，由勒索软件加密：

• 音频文件。

• 影片。

• 图像文件。

• 数据库。

• 档案。

加密后，损坏的文件显示为已损坏。此外，他们有不同的名字。在原始名称之后，您可以看到以扩展名.fire结尾的一系列扩展名。

加密过程结束后不久，威胁可能会丢失带有赎金消息的文件。此消息的目的是强制您与***联系，以获取有关如何还原.fire文件的更多详细信息。它提供以下联系电子邮件地址 - suppfirecrypt@qq.com。

尽管***声称他们自己是唯一拥有解密解决方案的人，但我们建议您避免联系他们，因为这可能会导致您的信任再次遭到破坏。

删除.fire勒索病毒和还原数据

所谓的.fire勒索病毒是一种威胁，其代码非常复杂，不仅困扰着你的文件，也困扰着整个系统。因此，您需要在再次定期使用之前正确清理并保护受感染的系统。下面你可以找到一个逐步删除指南，可能有助于尝试删除此.fire Dharma勒索软件。如果您以前有恶意软件文件的经验，请选择手动删除方法。如果您对手动步骤感到不舒服，可以选择下载杀毒软件自动删除文件病毒。

为了确保您的系统在将来免受勒索软件和其他类型的恶意软件的侵害，您应该安装并维护可靠的反恶意软件程序。可以防止勒索软件***发生的附加安全层是防病毒杀毒软件

。

请注意，在数据恢复过程之前，您应该将所有加密文件备份到外部驱动器，因为这样可以防止其不可逆转的丢失。

删除.fire勒索病毒和还原数据，请阅读以下步骤：

手动删除通常需要时间，如果不小心，您可能会损坏您的文件！

1.以安全模式启动PC以隔离和删除.fire文件病毒文件和对象

对于Windows XP，Vista和7系统：

1.删除所有CD和DVD，然后从“ 开始 ”菜单重新启动PC 。
2.

- 对于具有单个操作系统的PC：在计算机重新启动期间出现第一个引导屏幕后，反复按“ F8 ”。如果Windows徽标出现在屏幕上，则必须再次重复相同的任务。

- 对于具有多个操作系统的PC：箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述，按“ F8 ”。

3.出现“ 高级启动选项 ”屏幕时，使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机。当您的计算机处于安全模式时，屏幕的所有四个角都会出现“ 安全模式 ” 字样。

4.修复PC上恶意软件和PUP创建的注册表项。

2.在PC上查找.fire勒索病毒创建的文件

在较旧的Windows操作系统中，传统方法应该是有效的方法：

1.单击“ 开始菜单”图标（通常在左下角），然后选择“ 搜索”首选项

2.出现搜索窗口后，从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。

3.之后，键入要查找的文件的名称，然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件，可以通过右键单击来复制或打开其位置。

现在，您应该能够在Windows上发现任何文件，只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。

3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序

4.尝试恢复.fire文件病毒加密的文件

方法1：使用数据恢复软件扫描驱动器的扇区。

方法2：使用Shadow Explorer

方法3：在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。

删除GANDCRAB v5.0.6勒索病毒 - GANDCRAB v5.0.6还原文件 可参照链接

关注服务号，交流更多解密文件方案和恢复方案：