用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



分析Buran勒索病毒之recovery.helper@aol.com后缀勒索病毒

2021-05-18 22:35:16 36317 编辑:91数据恢复专家 来源:本站原创

什么是recovery.helper@aol.com勒索病毒?

recovery.helper@aol.com 勒索病毒属于Buran 勒索病毒家族。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
Buran 勒索软件于 2019 年 5 月首次开始取得进展。恶意软件感染是勒索软件即服务威胁或 RaaS。利用 RaaS 威胁是网络犯罪分子赚钱的一种相当常见的方式。解释这一过程的最简单方法是理解 RaaS 攻击是基于订阅的模型的一部分,即使是最不熟练的网络攻击者也可以在网络上发起勒索软件威胁。这也不是一个新的、崭露头角的计划。它在网上已经有一段时间了。您甚至可以在市场上遇到大量 RaaS 软件包,这些软件包完全消除了编写恶意软件的需要。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
这就是为什么对于想要发起恶意感染并在网上造成严重破坏但没有这样做的技术知识的人来说,它是一项完美的服务。该模型允许任何人成为 RaaS 包的“附属机构”。该过程涉及附属公司将勒索软件分发给毫无戒心的受害者,并且勒索软件的创建者从随后的勒索中分得一杯羹。其他臭名昭著的 RaaS 威胁包括 REVil、GandCrab、Phobos 等流行名称。此类威胁的列表相当广泛,包括 Buran 的前身 VegaLocker 勒索软件。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

recovery.helper@aol.com勒索病毒是如何传播感染的?

Buran 勒索软件通过 Rig Exploit Kit 传送到您的 PC 中。它使用 Microsoft Internet Explorer VBScript 引擎引擎 RCE 漏洞 (CVE-2018-8174) 来利用计算机进行部署。一旦漏洞利用成功,它就会启动一系列命令,在您的系统上下载 Buran。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
当 Rig 漏洞利用工具包在您的 PC 上删除 Buran 可执行文件时,会立即执行。然后勒索软件确保将自身复制到文件路径 %APPDATA%\microsoft\windows\ctfmon.exe 并启动。它继续加密,但不会针对您机器上的每个文件。相反,它从加密中排除了某些扩展。它们如下:.cmd、.com、.cpl、.dll、.msc、.msp、.pif、.scr、.sys、.log、.exe、.buran。它还排除某些文件夹和文件。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

如何保护自己免受recovery.helper@aol.com勒索病毒感染?

经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
远程桌面口令爆破sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
    检查 Windows 日志中的安全日志以及防火墙日志等sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
共享设置sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
    检查是否只有共享出去的文件被加密。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
激活/破解sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
    检查中招之前是否有下载未知激活工具或者破解软件。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
僵尸网络sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
    僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马,可通过使用杀毒软件进行查杀进行判断。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
第三方账户  sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
    检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
软件漏洞sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
    根据系统环境,针对性进行排查,例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

中了recovery.helper@aol.com后缀的Buran家族勒索病毒文件怎么恢复?

此后缀文件的修复成功率大概在90%~99%之间。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具,但是希望很渺茫。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
2.如果文件急需,可以添加服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
3.幸运的是,如果只需要单独恢复数据库文件,这个病毒的中毒数据库文件可以修复达到95%~99%之间,但是需要十分专业的修复技术进行提取方可完成,具体可以咨询技术服务号(shujuxf)。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

预防勒索病毒-日常防护建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;sV691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:133-188-44580 166-6622-5144

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2