目录
前言:案例简介
一、什么是.勒索病毒?
二、中了.后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
.被加密数据情况及数据恢复情况
2.恢复工期
预防勒索病毒-日常防护建议:
前言:案例简介
.后缀勒索病毒是今年国庆爆发的国外知名勒索病毒家族的新型传播病毒,最近已经接到大量的公司咨询与求助,请各公司务必加强防范。
幸运的是,因为我们属于国内率先发现及研究该病毒加密特征及入侵方式研究的团队,因此目前此后缀我们可以实现的数据恢复率较高,基本可以达到完美恢复状态,我们也积累了较多的成功恢复案例,有需要的可以联系9数据恢复团队咨询,下面我们来分析看看这个.后缀勒索病毒。
黑龙江某公司中了后缀.勒索病毒,公司的多台服务器全部中毒,所有业务软件服务器和文件服务器的文件被全部加密,需要紧急数据恢复,否则公司运作无法进行,客户之前找了一家数据公司签合同后却无法完成恢复,导致公司耽误了不少时间,经当地一家安全厂商介绍,客户联系我们9数据恢复团队,经我们9数据恢复工程师远程检测分析,迅速确定了最快及最高恢复率的数据恢复方案,且我们的恢复方案可确保该公司的数据库文件可以00%完美恢复,不存在数据丢失的可能,接着工程师团队紧急安排通宵达旦争分夺秒帮助客户完成恢复数据,文件数据恢复率达99.99%+,数据库文件均00%完美恢复,最终获得了客户高度满意好评。
一、什么是.勒索病毒?
.勒索病毒是一种基于.file勒索病毒升级的文件加密病毒。它使用感染性注入算法感染系统。该算法针对文件锁定。一旦锁定,文件将具有扩展名“。名为“.”。例如,文件名为“.jpg”。感染后,该文件将被命名为“.jpg.”。扩展名是关于文件感染的标记。
.勒索病毒以一种或另一种方式进入计算机后,它将更改Windows注册表,删除卷影副本,打开/写入/复制系统文件,产生在后台运行的factura.exe进程,加载各种模块等。
加密数据后,.勒索病毒还与Command&Control服务器联系,为每个受害者发送一个RSA私钥。最终,该恶意软件会加密图片,文档,数据库,视频和其他文件,仅保留系统数据,还有其他一些例外。
.勒索病毒是如何传播感染的?
远程桌面口令爆破
关闭远程桌面,或者修改默认用户administrator。
数据库攻击
检查数据库的sa用户的密码复杂度。
软件漏洞
根据系统环境,针对性进行排查,例如常见被攻击环境Java、通达OA、致远OA等。查web日志、排查域控与设备补丁情况等。
二、中了.后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的修复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf9)免费咨询获取数据恢复的相关帮助。
三、恢复案例介绍:
.被加密数据情况及数据恢复情况
因为该公司感染的服务器较多,本案例仅展示其中3台的数据恢复效果,全部服务器被加密的文件数据量约多万个,全部总数据量大约6.4T左右,数据库大概有40多个,其中有一个数据库的ldf文件达G,对应恢复的难度也大大增加(当然,该文件最终也完美00%恢复了)
最终全部服务器均完美恢复,只有少量快捷方式,系统盘无用文件,快捷方式等无效文件未恢复,其它所有数据及数据库文件均完成恢复。恢复率等于99.99%+,所有恢复完成的文件均可以正常打开及使用。
2.恢复工期
六台服务器,我们团队在收到客户当天下单开始通宵执行恢复施工,最终于第三天晚上完成了全部数据的恢复,耗时3天+。
预防勒索病毒-日常防护建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5.关闭非必要的服务和端口如35、39、、等高危端口。
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。