新后缀.PPHL勒索病毒文件，Dharma勒索软件删除

Dharma勒索软件又推出了新的加密病毒变体。当前版本的Dharma系列勒索软件经过在文件后缀.PPHL扩展名来加密文件，从而使文件没法访问。它也能够像之前的版本同样添加惟一的标识号。全部加密文件都将以新的扩展名做为辅助扩展名。勒索软件会丢弃勒索便条，向受害者提供有关如何据称恢复文件的说明。

.PPHL病毒能够加密您的文件并显示勒索软件注释。该病毒是Dharma勒索软件家族的一种变体，之前的版本是.HAT病毒文件和.spare病毒文件（Dharma Ransomware）。恶意软件研究人员发现了最新版本的恶意软件样本。

.PPHL文件病毒是一种加密病毒，能够加密您的文件并显示勒索软件注释。下图是赎金记录的样子：

勒索者但愿您为加密的文件恢复支付赎金，与之前的Dharma / CrySis勒索软件系列变体同样。.PPHL文件病毒勒索软件能够在Windows注册表中建立条目以实现持久性，而且能够启动或抑制Windows系统中的进程。全部加密的文件将带有惟一标识符编号以及.PPHL扩展名。该扩展名将做为每一个文件的次要扩展名，看起来像work.docx.id-1E659D00。[邮箱地址] .PPHL。勒索软件能够加密音频，视频，图像文件以及文档，备份和yin行数据。

注意！强烈建议全部恶意软件受害者都应仅经过信誉良好的来源寻求帮助如专业的可信任的恢复机构研究解密方式我有推荐过一些；或备份被加密数据等网络上出现免费的解密器。有许多指南声称能够免费恢复和解密被勒索软件病毒加密的文件。发现不少可能只是为了您的金钱而不解密文件。

如何从Windows删除.PPHL病毒？

步骤一： 以安全模式启动PC来隔离和删除.PPHL病毒
1.按住Windows键 + R
2.将出现“ 运行 ”窗口。在其中键入“ msconfig ”，而后单击“ 肯定”。
3.转到“启动”标签。在此处选择“安全启动”，而后单击“应用”和“肯定”。
4.出现提示时，单击“ 从新启动 ”以进入安全模式。
5.您能够经过屏幕角落上的文字“安全模式SafeMode”来识别安全模式。

步骤二： 从Windows卸载.PPHL病毒和相关软件
1.按住“Windows键 + R ”。将会出现一个弹出窗口。
2.在字段中输入“ appwiz.cpl ”，而后按Enter。
3.这将打开一个窗口，其中包含PC上安装的全部程序。选择要删除的程序，而后按“ 卸载 ”

步骤三： 清除计算机上由.PPHL病毒建立的全部注册表。
Windows计算机一般具备针对性的注册表以下：

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

依照跟病毒斗争多年的经验建议以下防范方法：
1.多台机器，不要使用相同的帐号和口令
2.登陆口令要有足够的长度和复杂性，并按期更换登陆口令
3.重要资料的共享文件夹应设置访问权限控制，并进行按期备份
4.按期检测系统和软件中的安全漏洞，及时打上补丁。
5.按期到服务器检查是否存在异常。查看范围包括：
a)是否有新增帐户
b) Guest用户是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截状况
6.安装安全防御软件，并确保其正常运行。
7.从正规渠道下载安装软件。不要打开垃圾邮件连接或附件。
8.对不熟悉的软件，若是已经被杀毒软件拦截查杀，不要添加信任继续运行。
9.关闭网络端口135-13九、44五、143三、3000-7000、7070、63333 以防***
10.重要事情说三遍，重要数据必定要定时及时备份。

但愿对你们有帮助，欢迎点赞支持！