最近新型传播的.520后缀勒索病毒是什么来头?该如何防范与恢复?

最近新型传播的.520后缀勒索病毒是什么来头?该如何防范与恢复?-UI柒

什么是.520勒索病毒

.520病毒是一种基于file勒索病毒代码的加密病毒。在主动攻击活动中已经发现了这种威胁。有几种分发技术可用于在目标操作系统上传送恶意文件,例如远程桌面爆破,垃圾邮件,损坏的软件安装程序,洪流文件,伪造的软件更新通知和被黑的网站。

.520勒索病毒以一种或另一种方式进入计算机后,它将更改Windows注册表,删除卷影副本,打开/写入/复制系统文件,产生在后台运行的factura.exe进程,加载各种模块等。

加密数据后,file勒索病毒还与Command&Control 服务器联系,为每个受害者发送一个RSA私钥(解密文件时需要使用它)。最终,该恶意软件会加密图片,文档,数据库,视频和其他文件,仅保留系统数据,还有其他一些例外。

一旦在目标系统上执行了.520勒索病毒的程序,就会触发攻击的第一阶段。一旦520文件病毒进行了初步的恶意修改,它便可以激活内置的密码模块,从而通过该模块设置数据加密过程的开始。在攻击的此阶段,.520病毒会扫描所有系统驱动器以寻找目标文件.

经过91数据恢复团队分析研究该病毒加密特征,发现其跟8,9月份开始传播的.file勒索病毒的加密方式非常相似,应该是出自同一个勒索病毒家族。

感染.520后缀勒索病毒建议立马做以下几件事情:

1.将感染病毒的断开互联网连接;

2.拔下所有存储设备;

3.注销云存储帐户;

4.关闭所有共享文件夹;

5.寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改,这将二次破坏文件内容,可能导致后期数据无法恢复。

.520勒索病毒是如何传播感染的?

经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

关闭远程桌面,或者修改默认用户administrator

共享设置

检查是否只有共享出去的文件被加密。

激活/破解

检查中招之前是否有下载未知激活工具或者破解软件。

第三方账户

检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。

中了.520后缀勒索病毒文件怎么恢复?

此后缀文件的修复成功率大概在95%~100%之间。

如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具,但是希望很渺茫。

预防勒索病毒-日常防护建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;

2.登录口令要有足够的长度和复杂性,并定期更换登录口令;

3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。

4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。

5.关闭非必要的服务和端口如135、139、445、3389等高危端口。

6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;

7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;

8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。

[line]版权声明:文/作者:数据恢复研究,原文链接:https://baijiahao.baidu.com/s?id=1712704728844589848,本文转载仅用于学习、研究,不会用于商业用途,如有侵犯到您的合法权益,欢迎联系i@ui7.net或者添加微信联系我做删除处理[/line]

消息盒子
# 您需要首次评论以获取消息 #
# 您需要首次评论以获取消息 #

只显示最新10条未读和已读信息