近日, 我们监测发现多起 .acookies-XXXXX勒索病毒家族的攻击事件。该病毒主要针对企业的Web应用和数据库服务器发起攻击,包括Spring Boot、Weblogic、OA、财务软件等,在拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,然后执行加密程序加密设备的文件。
.acookies-XXXXX后缀勒索病毒是今年国外知名勒索病毒家族Mallox的又一个新型传播病毒,这个后缀已经是该家族今年的第九个升级变种了,该勒索病毒每一个变种都在升级改变算法
近日, 我们监测发现多起 .acookies-XXXXX勒索病毒家族的攻击事件。该病毒主要针对企业的Web应用和数据库服务器发起攻击,包括Spring Boot、Weblogic、OA、财务软件等,在拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,然后执行加密程序加密设备的文件。
.acookies-XXXXX后缀勒索病毒是今年国外知名勒索病毒家族Mallox的又一个新型传播病毒,这个后缀已经是该家族今年的第九个升级变种了,该勒索病毒每一个变种都在升级改变算法
目录
前言:简介
一、什么是.acookies-F-XXXXXX勒索病毒?
二、中了 .acookies-XXXX后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
近日, 我们监测发现多起 .acookies-XXXX勒索病毒家族的攻击事件。该病毒主要针对企业的Web应用和数据库服务器发起攻击,包括Spring Boot、Weblogic、OA、财务软件等,在拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,然后执行加密程序加密设备的文件。
.acookies-XXXXX后缀勒索病毒是今年国外知名勒索病毒家族Mallox的又一个新型传播病毒,这个后缀已经是该家族今年的第九个升级变种了,该勒索病毒每一个变种都在升级改变算法
近日,国内某公司服务器中了后缀.acookies-F-XXXXXX勒索病毒,XXXXXX为加密ID号,每台被加密的机器ID号都不一样,公司的服务器文件全部中毒,所有业务软件服务器和文件服务器的文件被全部加密,需要紧急数据恢复,经当地一家安全软件厂商介绍,客户联系我们91数据恢复团队,经我们91数据恢复工程师远程检测分析,迅速确定了最快及最高恢复率的数据恢复方案,且我们的恢复方案可确保该公司的数据库文件可以100%完美恢复,不存在数据丢失的情况,接着数据工程师团队紧急安排通宵达旦争分夺秒帮助客户完成恢复数据,文件类数据恢复率达100%,数据库文件均100%完美恢复,最终获得了客户高度满意好评。
如需恢复数据,可添加我们的数据恢复服务号(shujuxf)进行免费检测与咨询获取数据恢复的相关帮助。
下面我们来了解看看这个.acookies-F-XXXXXX后缀勒索病毒。
.acookies-F-XXXXXX勒索病毒也称为Mallox勒索病毒,它通过加密文件并要求支付赎金以恢复对文件的访问来修改您的文件。
Mallox勒索软件通过名为.acookies-F-XXXXXX的新型加密病毒再次活跃。该特定的病毒家族通过添加.acookies-F-XXXXXX扩展名来修改所有流行的文件类型,从而使数据绝对不可用。勒索病毒还分配其唯一的识别密钥,就像病毒家族的所有先前代表一样。一旦该文件被勒索软件加密,它将获得一个特殊的新扩展名,成为次要扩展名。
加密数据后,.acookies-F-XXXXXX勒索病毒还与Command&Control 服务器联系,为每个受害者发送一个RSA私钥。最终,该恶意软件会加密图片,文档,数据库,视频和其他文件,仅保留系统数据,还有其他一些例外。
无论采用何种传播方法,攻击通常都以相同的方式进行。.acookies-F-XXXXXX勒索病毒会扫描用户的计算机以定位他们的数据。接下来,数据锁定木马将触发其加密过程。.acookies-F-XXXXXX Ransomware 应用加密算法来安全地锁定所有目标文件。所有经过 Ransomware 加密过程的文件都将更改其名称,因为该木马添加了一个.acookies-F-XXXXXX对其名称的扩展。正如您从 Devos Ransomware 的扩展中看到的那样,这种威胁为每个受害者生成了一个新的唯一 ID。这有助于攻击者区分已成为其数据锁定木马受害者的各种用户。
.acookies-F-XXXXXX勒索病毒是如何传播感染的?
经过分析多家公司中毒后的机器环境判断,该病毒主要针对企业的Web应用和数据库服务器发起攻击,包括Spring Boot、Weblogic、OA、财务软件等,在拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,然后执行加密程序加密设备的文件。
此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(shujuxf)进行免费咨询获取数据恢复的相关帮助。
1. 被加密数据情况
客户的U8软件服务器感染了.acookies-XXXXX后缀勒索病毒,被加密的文件有36万+个,主要需恢复U8软件的数据库文件。
编辑
2. 数据恢复完成情况
数据完成恢复,36万+个文件,全部数据文件包括U8数据库文件均全部100%恢复。恢复完成的文件均可以正常打开及使用。
编辑
四、系统安全防护措施建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。