最近出現多家公司找我咨詢,他們所在公司的服務器都感染了.eking后綴勒索病毒,中毒后,服務器上的所有檔案都被加密鎖定,沒辦法正常打開使用,而且檔案名也被篡改成.eking后綴,導致公司業務無法正常開展,影響較大,經與他們緊密溝通及進行檔案檢測,根據檢測的結果,我向他們提供了相應的解決方案建議,已有公司按照解決方案的建議順利完成了檔案資料的恢復作業,
對于這個.eking后綴勒索病毒究竟是什么來頭?是通過什么方式傳播感染的?如何預防和中毒后如何救援?讓我們來一起進行了解,
什么是.eking后綴勒索病毒?
.eking后綴后綴勒索病毒是一種惡意的檔案加密病毒,已于2020年5月17日在表面上被發現,攻擊開始緩慢,但此后影響了全球越來越多的用戶,根據研究人員,該病毒是通過與Adobe Acrobat Crack捆綁在一起的洪流網站進行分發的,該網站非常流行,并且使病毒易于傳播,一旦啟動了惡意有效負載,.eking后綴就開始攻擊的第一階段,即注入惡意.exe行程并獲得對系統的管理特權,第二階段與檔案加密有關,為了鎖定受害者的檔案,該勒索病毒背后的犯罪分子使用AES加密和ID,[decphob@tuta.io] .eking后綴附錄,
.eking后綴勒索病毒病毒從起源上是臭名昭著的Phobos勒索病毒家族,該家族擁有20多個成員,包括Mamba,Phoenix和ISO勒索病毒,就像前輩一樣,它模仿了Dharma家族臭名昭著的檔案加密病毒,它對贖金票據使用相同的樣式,并在逐字上提供相同的指示,目前,.eking后綴病毒在每個包含鎖定檔案的檔案夾中創建一個彈出視窗info.hta或文本檔案info.txt,該檔案包含兩個用于聯系人的電子郵件:decphob@tuta.io和decphob@protonmail.com,但是,既不建議聯系罪犯也不要支付贖金,
| 名稱 | .eking后綴 |
| 所屬家族 | 該病毒屬于Phobos勒索病毒家族 |
| 分類 | 勒索病毒/檔案加密病毒 |
| 加密方式 | 根據Phobos家族的歷史,據信.eking后綴正在使用AES密碼對受感染機器上的檔案進行加密 |
| 檔案后綴名 | 勒索病毒使用.eking后綴后綴鎖定的檔案, 包含不僅限于以下后綴版本 [holylolly@airmail.cc] .eking后綴 “,”,[digistart@protonmail.com] .eking后綴 “,” ,[greed_001@aol.com] .eking后綴 “,” ,[helpmedecoding@airmail.cc] .eking后綴 “,” ,[Black_Wayne@protonmail.com] .eking后綴 “ ,“ ,[Decryptdatafiles@protonmail.com] .eking后綴 ”,“ ,[supp0rt@cock.li] .eking后綴 ”,“ ,[quickrecovery05@firemail.cc] .eking后綴 ”,“ ,[tsec3x777@protonmail.com],芯吸 “ ”[DECRYPTUNKNOWN@Protonmail.com] .eking后綴 “, ”[gluttony_001@aol.com] .eking后綴 “, ”[recoryfile@tutanota.com] .eking后綴 “,” ,[ICQ @ fartwetsquirrel],芯吸 “” ,[jerjis@tuta.io],.eking后綴 ”,“ [holylolly@airmail.cc] .eking后綴 ”,“[pride_001@aol.com] .eking后綴 “,” [kabura@firemail.cc] .eking后綴 “,” [r4ns0m@tutanota.com] .eking后綴 “,” [contactjoke@cock.li] .eking后綴 “,” [moon4x4 @ tutanota.com] .eking后綴 “,” [hublle@protonmail.com] .eking后綴 “和” ,[eight20@protonmail.com] .eking后綴 |
| 傳播方式 | 目前,該病毒是通過與Adobe Acrobat Crack捆綁在一起的Torrent網站最活躍地傳播的,但是,勒索病毒管理者還可以利用開放的RDP或通過惡意垃圾郵件附件傳播有效載荷 |
| 消除 | 從系統中洗掉勒索病毒的唯一可能性是使用專業的AV引擎進行徹底掃描 |
| 檔案解密 | 不幸的是,沒有官方的.eking后綴解密器, |
.eking后綴檔案擴展名病毒已被檢測為最新的Phobos勒索病毒家族變體,據找我求助的人說,他下載了某些軟體,這是Adobe Acrobat專門破解工具,不久之后,該檔案(例如照片,視頻,檔案等)被鎖定,
不幸的是,目前還沒有其他工具可以解密由.eking后綴勒索病毒加密的檔案,換句話說,只有.eking后綴的開發人員才擁有正確的解密工具,雖然,大多數勒索病毒開發人員的問題在于,即使付款后,他們也經常不發送解密工具和/或密鑰,簡單地說,信任網路犯罪分子并向他們支付贖金的受害者往往被騙,
.eking后綴勒索病毒是如何感染我的計算機?
網路罪犯用于傳播勒索病毒和其他惡意軟體的最常見方法是使用垃圾郵件活動,假冒軟體更新程式,不可靠的下載渠道,非官方的軟體激活工具和特洛伊木馬,當他們使用垃圾郵件活動時,他們會發送包含惡意附件或網站的電子郵件,以及旨在下載惡意檔案的鏈接,無論哪種方式,其主要目的都是欺騙收件人打開(執行)旨在安裝惡意軟體的惡意檔案,在大多數情況下,附加在電子郵件中的惡意檔案包括Microsoft Office檔案,存檔檔案(如ZIP,RAR),PDF檔案,JavaScript檔案和可執行檔案(如.exe),傳播惡意軟體的另一種流行方法是通過偽造的軟體更新程式,通常,非官方的第三方更新工具不會更新,修復任何已安裝的軟體,他們只是利用漏洞,某些過時軟體的缺陷來安裝惡意軟體或感染系統,此外,不可靠的軟體下載渠道也可用于分發惡意軟體,經常通過對等網路(如torrent客戶端,eMule,各種免費檔案托管,免費軟體下載網站和其他類似渠道)下載檔案的用戶下載惡意檔案,這些檔案在執行時會感染惡意軟體,值得一提的是,此類檔案經常被偽裝成合法,常規的檔案,軟體“破解”工具是用戶尋求免費激活付費軟體時使用的程式,但是,它們沒有激活它,而是允許那些工具安裝勒索病毒型別的惡意軟體和其他惡意軟體,木馬程式,如果已安裝,旨在傳播各種惡意軟體,簡而言之,如果已經安裝了這種型別的惡意程式,則很有可能會造成其他損害,
如何保護自己免受.eking后綴勒索病毒感染?
不應該打開不相關電子郵件中的鏈接和附件,尤其是如果它們是從未知的可疑地址收到的,在打開其內容之前,應始終仔細分析此類電子郵件,只能從官方網站或通過直接鏈接下載軟體,上面提到的非官方頁面,第三方下載器(和安裝程式)以及其他渠道,來源均不可信,此外,正確更新和激活軟體也很重要,更確切地說,應該使用官方軟體開發人員提供的設計實作的功能(或工具)來完成此操作,所有其他工具通常都用于分發惡意軟體,此外,使用非官方的第三方工具激活許可軟體是非法的,最后,應使用信譽良好的防病毒或反間諜軟體定期掃描計算機,該軟體應始終是最新的,
中了. eking后綴檔案后綴的Phobos勒索病毒檔案怎么恢復?
此類勒索病毒屬于:Phobos家族 ,目前暫時不支持解密.
1.如果檔案不急需,可以先備份等黑客被抓或良心發現,自行發布解密工具
2.如果檔案急需,可以添加服務號(shujuxf)發送檔案樣本進行免費咨詢資料恢復方案,或者尋求其它第三方解密服務,
預防勒索病毒-日常防護建議:
預防遠比救援重要,所以為了避免出現此類事件,強烈建議大家日常做好以下防護措施:
1.多臺機器,不要使用相同的賬號和口令,以免出現“一臺淪陷,全網癱瘓”的慘狀;
2.登錄口令要有足夠的長度和復雜性,并定期更換登錄口令;
3.嚴格控制共享檔案夾權限,在需要共享資料的部分,盡可能的多采取云協作的方式,
4.及時修補系統漏洞,同時不要忽略各種常用服務的安全補丁,
5.關閉非必要的服務和埠如135、139、445、3389等高危埠,
6.備份備份備份!!!重要資料一定要定期隔離備份,進行RAID備份、多機異地備份、混合云備份,對于涉及到機密或重要的檔案建議選擇多種方式來備份;
7.提高安全意識,不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟體發送的檔案,在點擊或運行前進行安全掃描,盡量從安全可信的渠道下載和安裝軟體;
8.安裝專業的安全防護軟體并確保安全監控正常開啟并運行,及時對安全軟體進行更新,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/223237.html
標籤:其他