前言:案例简介
近日,山东某医药公司中了后缀.file勒索病毒,公司的U8软件数据服务器数据全部中毒,所有数据库文件被全部加密,急需数据恢复,否则公司业务运作无法进行,业务受到重挫,经联系91数据恢复工程师远程查看,并多次沟通协商变更了相应的解决方案,通过双方远程协同配合,最终在1天时间完整恢复数据。
一、什么是.file勒索病毒?
file病毒是一种基于file勒索病毒代码的加密病毒。在主动攻击活动中已经发现了这种威胁。有几种分发技术可用于在目标操作系统上传送恶意文件,例如远程桌面爆破,垃圾邮件,损坏的软件安装程序,洪流文件,伪造的软件更新通知和被黑的网站。
file勒索病毒以一种或另一种方式进入计算机后,它将更改Windows注册表,删除卷影副本,打开/写入/复制系统文件,产生在后台运行的factura.exe进程,加载各种模块等。
加密数据后,file勒索病毒还与Command&Control服务器联系,为每个受害者发送一个RSA私钥(解密文件时需要使用它)。最终,该恶意软件会加密图片,文档,数据库,视频和其他文件,仅保留系统数据,还有其他一些例外。
一旦在目标系统上执行了.file勒索病毒的程序,就会触发攻击的第一阶段。一旦file文件病毒进行了初步的恶意修改,它便可以激活内置的密码模块,从而通过该模块设置数据加密过程的开始。在攻击的此阶段,file病毒会扫描所有系统驱动器以寻找目标文件.
.file勒索病毒是如何传播感染的?
经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
远程桌面口令爆破
关闭远程桌面,或者修改默认用户administrator
共享设置
检查是否只有共享出去的文件被加密。
软件漏洞
根据系统环境,针对性进行排查,例如常见被攻击环境Java、通达OA、致远OA等。查web日志、排查域控与设备补丁情况等。
二、中了.file后缀勒索病毒文件怎么恢复?
此后缀文件的修复成功率大概在95%~%之间。1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具,但是希望很渺茫。2.如果文件急需,可以咨询我们的技术服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。
三、恢复案例介绍:
1.被加密数据情况
一台U8服务器,被加密的文件数据量约5万多个,数据量大约70G+。
2.恢复结果
数据完成恢复,一共5万多个文件,只有18个文件未恢复,都是无关紧要的缓存文件,恢复率等于%。恢复的文件均可以正常打开及使用。
.恢复工期
一台服务器,在收到客户下单当天开始通宵执行恢复,70G+的数据恢复量,最终于第二天下午午完成了全部数据的恢复,耗时28小时。