【数据恢复】偶尔传播的.eight勒索病毒-.[g.uan_yu@aol.com].eight
- 客户名称:国内某公司
- 售前服务顾问:胡Sir
- 恢复工程师:陈工
- 恢复工期:1天
- 恢复范围:一台服务器
- 恢复率:100%
.eight是恶意勒索病毒,它是 Phobos 勒索病毒家族系列的一部分。它加密文件并对解密提出赎金要求。但是据我们收到的反馈,已有多名人员缴纳赎金后却无法获得解密工具,遭受了多重损失。
.eight通过添加受害者的 ID 和网络犯罪分子的电子邮件地址来重命名文件(此勒索软件的更新变体添加了不同的变体)并附加了“ .eight ”扩展名。例如,像“ 1.jpg ”这样的文件会显示为类似于“ 1.jpg.id[1E857D00-2776].[g.uan_yu@aol.com].eight”,等等。
该勒索软件还在文本文件(“.info.txt”)中创建要求赎金的消息,并在弹出窗口(“info.hta”)中显示另一个消息。
【数据恢复】偶尔传播的.eight勒索病毒-.[g.uan_yu@aol.com].eight
![【数据恢复】偶尔传播的.eight勒索病毒-.[g.uan_yu@aol.com].eight](/96kaifa/images/case/caseimgbg.png)
案例简介:
.eight是恶意勒索病毒,它是 Phobos 勒索病毒家族系列的一部分。它加密文件并对解密提出赎金要求。但是据我们收到的反馈,已有多名人员缴纳赎金后却无法获得解密工具,遭受了多重损失。
.eight通过添加受害者的 ID 和网络犯罪分子的电子邮件地址来重命名文件(此勒索软件的更新变体添加了不同的变体)并附加了“ .eight ”扩展名。例如,像“ 1.jpg ”这样的文件会显示为类似于“ 1.jpg.id[1E857D00-2776].[g.uan_yu@aol.com].eight”,等等。
该勒索软件还在文本文件(“.info.txt”)中创建要求赎金的消息,并在弹出窗口(“info.hta”)中显示另一个消息。
什么是.eight勒索病毒?
.eight是恶意勒索病毒,它是 Phobos 勒索病毒家族系列的一部分。它加密文件并对解密提出赎金要求。但是据我们收到的反馈,已有多名人员缴纳赎金后却无法获得解密工具,遭受了多重损失。
.eight通过添加受害者的 ID 和网络犯罪分子的电子邮件地址来重命名文件(此勒索软件的更新变体添加了不同的变体)并附加了“ .eight ”扩展名。例如,像“ 1.jpg ”这样的文件会显示为类似于“ 1.jpg.id[1E857D00-2776].[g.uan_yu@aol.com].eight”,等等。
该勒索软件还在文本文件(“.info.txt”)中创建要求赎金的消息,并在弹出窗口(“info.hta”)中显示另一个消息。
.eight勒索病毒以某种方式进入计算机后,会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。
.eight勒索病毒将扫描您的计算机以查找图像、视频以及重要的生产力文档和文件,例如 .doc、.docx、.xls、.pdf。当检测到这些文件时,勒索软件会对它们进行加密并将其扩展名更改为“.[g.uan_yu@aol.com].eight”,这样您就无法再打开它们。
与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的:
.[tsai.shen@mailfence.com].eight
.[dillon.dabzac@aol.com].eight
.[coxbarthel@aol.com].eight
.[use_harrd@protonmail.com].eight
.[g.uan_yu@aol.com].eight
如何保护自己免受 .eight后缀勒索病毒勒索病毒感染?
经过分析中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
软件或者网站漏洞
根据系统环境,针对性进行排查,例如常见被攻击环境Java语言编写的软件或者网站程序等。查 web 日志、排查域控与设备补丁情况等。
远程桌面口令爆破
检查 Windows 日志中的安全日志以及防火墙日志等
共享设置
检查是否只有共享出去的文件被加密。
中了.eight后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。
恢复案例-加密数据恢复情况:
一台服务器,被加密的文件数量接近15万个。
数据恢复完成情况:
数据完成恢复,数据恢复率等于100%。恢复完成文件均可以正常打开及使用。
预防勒索病毒-日常防护建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
1、安全规划 网络架构
业务、数据、服务分离,不同部门与区域之间通过 VLAN 和子网分 离,减少因为单点沦陷造成大范围的网络受到攻击。
2、内外网隔离
合理设置 DMZ 区域,对外提供服务的设备要做严格管控。减少企业 被外部攻击的暴露面。对外暴露机器可通过虚拟化部署,定期做快 照备份等方式减少损失。
3、安全设备部署
在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。
4、权限控制
包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。
5、数据备份保护
对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。尽量做到多方式备份。
6.多因素或两因素身份验证是标准
所有用户身份验证请求都应以多因素或双因素身份验证为最低标准。多因素身份验证可防止多种重大威胁,例如密码破解和凭据泄露。
这些只是零信任安全架构的几个元素中的一小部分。其他适合环境的概念包括联合身份、自动化和动态风险评估。
如果这听起来像很多工作,那就是。零信任架构的每一个支柱都是随着时间的推移而完成的——一劳永逸的方法在这里不起作用。零信任不仅仅是安装新技术。它是关于从整体上管理和转移组织的技术、人员和流程。在实施零信任的同时,这些变化对业务、人员和安全的影响必须有限。如果采用新的网络安全方法让组织在采用阶段容易受到攻击,那么转向新的网络安全方法对任何人都没有任何好处。
对于那些被这个概念吸引的公司,第一步是决定转向零信任框架。这不仅仅是一个信息技术决策或安全决策——它是一个商业决策。做出改变需要管理层和员工的认同。
公司应定义其安全架构原则,以使所有利益相关者保持一致。他们应该在业务的多个层面识别利益相关者。
同样,零信任不仅仅是安全领导者可以添加到当前网络安全模型中的东西。这是处理业务的另一种方式——网络安全已融入其中。零信任并不是万灵药,但如果做得好并全心投入,它将显着减少组织威胁面。对我来说,这值得付出努力。
