【数据恢复】2022年.360后缀勒索病毒再次卷土重来
- 客户名称:国内某公司
- 售前服务顾问:吴顾问
- 恢复工程师:王工
- 恢复工期:1天
- 恢复范围:一台服务器
- 恢复率:100%
自该.360后缀勒索病毒传播以来,我们团队也深入研究.360病毒的加密数据,因该BeijngCrypt勒索病毒家族一直依然存在加密程序缺陷,而导致有一部分客户即使支付赎金购买解密密钥依然无法成功解密数据库文件,导致企业产生了更加惨重的损失。经我们团队检测分析大量的服务器加密文件及成功恢复案例总结分析,目前已研究出可通过事前专业技术检测确保数据库文件100%恢复的方法,非数据库文件99%+恢复率的完美方案。如有恢复需求,可添加我们的技术服务号(shujuxf)咨询。接以下我们先来了解下.360勒索病毒。
【数据恢复】2022年.360后缀勒索病毒再次卷土重来
案例简介:
自该.360后缀勒索病毒传播以来,我们团队也深入研究.360病毒的加密数据,因该BeijngCrypt勒索病毒家族一直依然存在加密程序缺陷,而导致有一部分客户即使支付赎金购买解密密钥依然无法成功解密数据库文件,导致企业产生了更加惨重的损失。经我们团队检测分析大量的服务器加密文件及成功恢复案例总结分析,目前已研究出可通过事前专业技术检测确保数据库文件100%恢复的方法,非数据库文件99%+恢复率的完美方案。如有恢复需求,可添加我们的技术服务号(shujuxf)咨询。接以下我们先来了解下.360勒索病毒。
目录
前言:简介
一、什么是.360勒索病毒?
二、中了.360后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
前言:简介
.360后缀勒索病毒与前段时间大肆传播的.fc后缀勒索病毒都属于BeijngCrypt勒索病毒家族,.360后缀勒索病毒在去年底传播过一段时间,然后今年消停了一段时间,最近我们又接到一些公司的咨询与求助感染了.360后缀勒索病毒的情况,请各企业务必加强防范。
自该.360后缀勒索病毒传播以来,我们团队也深入研究.360病毒的加密数据,因该BeijngCrypt勒索病毒家族一直依然存在加密程序缺陷,而导致有一部分客户即使支付赎金购买解密密钥依然无法成功解密数据库文件,导致企业产生了更加惨重的损失。经我们团队检测分析大量的服务器加密文件及成功恢复案例总结分析,目前已研究出可通过事前专业技术检测确保数据库文件100%恢复的方法,非数据库文件99%+恢复率的完美方案。如有恢复需求,可添加我们的技术服务号(shujuxf)咨询。
下面我们来了解看看这个.devos后缀勒索病毒。
一、什么是.360勒索病毒?
.360后缀勒索病毒是一种基于文件勒索病毒代码的加密病毒。这种威胁已在主动攻击中发现。有多种分发技术可用于在目标操作系统上传送恶意文件,例如远程桌面爆破、垃圾邮件、损坏的软件安装程序、torrent 文件、虚假软件更新通知和被黑网站。
.360勒索病毒以某种方式进入计算机后,会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、加载各种模块等。加密数据后,文件勒索病毒还会联系命令与控制服务器。最终,恶意软件会对图片、文档、数据库、视频和其他文件进行加密,只保留系统数据,其他一些例外。
我们通过分析近期攻击案例发现,攻击者会向Web应用中植入大量的WebShell,而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备,攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户,并尝试远程登录目标机器。此外,攻击者还会使用fscan工具扫描设备所在内网,并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。
!_INFO.txt说明文件内容:
WARNING! YOUR FILES ARE ENCRYPTED!
Don’t worry, your files are safe, provided that you are willing to pay the ransom.
Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!
Do not rename your files. It will damage it.
The only way to decrypt your files safely is to buy the special decryption software from us.
Before paying you can send us up to 2 files for free decryption as guarantee. No database files for test.
Send pictures, text, doc files. (files no more than 1mb)
You can contact us with the following email
360recover@mailfence.com
360support@cock.li
Send us this ID or this file in first email
ID: DRdMC4VHVS4ekjj6D9QTDH2Aol409/nzN1j35R29xB8=:5de572c910c92226c5604da3900f06e7f217e3d746ef22d0a3053acd93645f9c
.360勒索病毒是如何传播感染的?
经过分析多家公司感染.fc勒索病毒后的机器环境及系统日志判断,BeijngCrypt勒索病毒家族基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
编辑
二、中了.360后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。
三、恢复案例介绍:
1. 被加密数据情况
一台公司服务器,被加密的数据4万个+,主要是恢复财务软件的数据库文件。
编辑
数据完成恢复,4万+个文件均已恢复,只有4个C盘的无用缓存文件未恢复,数据库软件均100%恢复。恢复完成的文件均可以正常打开及使用。
编辑
四、系统安全防护措施建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、4453389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
