用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



深入分析今年传播疯狂的.520勒索病毒与其数据恢复

2021-12-12 22:25:48 24737 编辑:91数据恢复专家 来源:本站原创
.520后缀勒索病毒是国外知名的BeijngCrypt勒索病毒家族的新型传播病毒,自今年9月底该病毒爆发以来,我们每天都接到不少的被感染加密数据企业咨询与求助,自病毒爆发以来,我们团队也持续不断深入研究.520病毒的加密数据,因该勒索病毒存在加密程序缺陷,而导致有一部分客户即使支付赎金购买解密密钥依然无法成功解密数据库文件,导致企业产生了更加惨重的损失。经我们团队检测分析大量的服务器加密文件及成功恢复案例总结分析,目前已研究出可通过事前专业技术检测确保数据库文件100%恢复,非数据库文件99%+恢复率的完美方案。如有恢复需求,可添加我们的技术服务号(shujuxf)咨询。接以下我们先来了解下.520勒索病毒。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
 

什么是.520勒索病毒?

.520病毒是一种基于文件勒索病毒代码的加密病毒。这种威胁已在主动攻击中发现。有多种分发技术可用于在目标操作系统上传送恶意文件,例如远程桌面爆破、垃圾邮件、损坏的软件安装程序、torrent 文件、虚假软件更新通知和被黑网站。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
.520勒索软件以某种方式进入计算机后,会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的factura.exe进程、加载各种模块等。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
加密数据后,文件勒索软件还会联系命令与控制服务器,向每个受害者发送一个 RSA 私钥(需要它来解密文件)。最终,恶意软件会对图片、文档、数据库、视频和其他文件进行加密,只保留系统数据,其他一些例外。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
一旦.520勒索软件程序在目标系统上执行,就会触发第一阶段的攻击。一旦520文件病毒进行了初步的恶意修改,它就可以激活内置的密码模块,通过该模块设置开始数据加密过程。在攻击的这个阶段,.520 病毒会扫描和加密所有系统驱动器中的目标文件。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
 

.520勒索病毒是如何传播感染的?

主要为以下两种入侵方式:ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
远程桌面口令爆破ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
    关闭远程桌面,或者修改默认用户administrator。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
数据库弱口令攻击ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
    检查数据库的sa用户的密码复杂度。 

支付赎金购买解密密钥是否一定可以恢复数据?

不一定,这段时间来,我们经常接到感染.520后缀勒索病毒的企业客户咨询,有部分客户已经支付赎金购买解密工具,然后执行解密工具后数据库文件却无法解密成功,从而遭受了双重的损失,这些客户寻求我们的帮助,希望看看能否拯救数据,经我们检测,这些恢复失败的客户中,有部分客户的数据库文件如果在支付赎金前可以提前使用专业技术检测明确能否解密成功的结果,避免出现原本专业技术检测就知道使用密钥一定解密失败的情况,却还要损失支付赎金的费用。所以如果确实打算购买解密密钥恢复,建议先请专业的数据恢复公司协助专业检测数据库文件,确保购买密钥后可以成功恢复,避免企业遭受二次损失。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
 

购买密钥需要注意什么?

1.首先,我们不推荐任何形式的交付赎金行为。但是如果数据缺失无法技术解密或者破解,数据又比较重要,只能购买密钥恢复的话,我们建议应注意以下几点:ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
不建议直接向黑客付款。直接向黑客付款存在很大风险:ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
其一是可能拿到的解密工具并不能使用;ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
其二是可能存在密钥不对,无法解密您的文件;ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
其三是黑客可能会再次甚至多次向您索要赎金。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
2.可以通过寻找第三方专业数据恢复公司寻求代买密钥服务,代买密钥过程中的风险项明确转嫁给第三方公司,支付一部分合理的代买密钥服务费,在正式开展代买密钥解密工作前,双方一定要签订合同,明确重要数据解密不成功如何处理等问题。  ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
3.不要咨询过多第三方商家。因为第三方大多都是去咨询黑客购买密钥。过多的联系第三方或商家,会造成黑客收到多次关于您的数据恢复的请求咨询,这可能导致黑客觉察到你对数据恢复有强烈需求,从而提高赎金。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
 

中了.520后缀的勒索病毒文件怎么恢复?

大多数勒索病毒都是使用非常复杂的加密算法,如果加密过程执行正确且加密算法没有漏洞,那全世界只有病毒开发者才能提供解密密钥。这是因为解密需要在加密期间生成的特定密钥。没有密钥就无法恢复数据。在大多数情况下,网络犯罪分子将密钥存储在远程服务器上,YourData、Phobos、Globeimposter等勒索病毒家族的加密几乎完美,所以根本不可能无需开发人员参与即可恢复加密数据。尽管如此,仍然有几十种类型的勒索病毒感染开发不完善且包含许多缺陷(例如,对每个受害者使用相同的加密/解密密钥、本地存储的密钥、加密不完整等)。但是在互联网上找到合适的解密工具的几率非常低,往往只会再次损坏加密文件而导致文件永久无法恢复。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
考虑到数据恢复所需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(shujuxf)进行免费咨询获取数据恢复的相关帮助。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
 

系统安全防护措施建议:

1.多台机器,不要使用相同的账号和口令ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
2.登录口令要有足够的长度和复杂性,并定期更换登录口令ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
4.定期检测系统和软件中的安全漏洞,及时打上补丁。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
5.定期到服务器检查是否存在异常。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
6.安装安全防护软件,并确保其正常运行。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
7.从正规渠道下载安装软件。ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。 ULJ91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
9.保存良好的备份习惯,尽量做到每日备份,异地备份。
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:133-188-44580 166-6622-5144

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2