.Globeimposter-Alpha865qqz
.Globeimposter-Alpha666qqz
.Globeimposter-Gamma666qqz
.Globeimposter-Beta666qqz
.Globeimposter-Zeta666qqz
以上常见的勒索病毒文件,都属于GlobeImposter(十二主神/十二生肖)系列勒索病毒加密软件加密文件。
865qqz ,因为加密100%完整,无法技术修,只能解密恢复处理。(具体处理后面介绍)
666qqz,属于隔断加密规则,可以技术修复,具体得分析加密情况。(具体处理后面介绍)
病毒感染途径
1. 网络钓鱼电子邮件:单击嵌入在电子邮件中的链接,该链接将重定向到恶意网页。
2. 电子邮件附件:打开电子邮件附件并启用恶意宏;或下载嵌入了远程访问木_马(RAT)的文档;或下载包含恶意JavaScript或Windows脚本宿主(WSH)文件的ZIP文件。
3. 社交媒体:单击社交媒体帖子,即时通讯聊天等上的恶意链接。
4. 恶意广告:单击带有恶意代码的合法广告网站。
5. 感染程序:安装包含恶意代码的应用程序或程序。
6. 偷渡感染:访问不安全,可疑或伪造的网页;或打开或关闭弹出窗口。注意:如果将恶意JavaScript代码注入网页内容中,则可能会破坏合法网页。
7. 重定向系统(TDS):单击合法网关网页上的链接,该链接会根据用户的地理位置,浏览器,操作系统或其他过滤器将用户重定向到恶意站点。
8. 自我传播:通过网络和USB驱动器将恶意代码传播到其他设备。
9. 系统漏洞:通过系统漏洞进入windows
10.其实最常见的是,远程桌面协议rdp破解,即暴力破解用户密码,如果你使用的administrator那就只需要破解密码,所以要特别注意。
《加密文件,处理方案,有两个》
方案 1 :只针对Sql Server或Oracle数据库文件进行修复,修复率在90%-99%。
【条件】需有“未加密或加密”的历史备份库文件;
【缺点】修复后会有数据丢失(具体看加密情况);
【优点】工期短,费用相对较低;
方案一手段:根据数据库文件的结构特征,可以通过技术提取未加密的内容进行重组修复,市面上很多都是利用修库工具处理,所以修复率偏低。修库有丰富经验的人,会通过人工提取别的素材,例如库备份,镜像等,做得更精细,从这边的案例看很多时候能达到100%修复。
方案 2 :解密恢复数据库和其他文件,文件内容恢复100%。
【条件】被加密的文件,未改动,未工具处理;
【缺点】费用和工期需要评估样本后才能确定;
【优点】恢复率高;
方案二手段:100%解密恢复电脑中所有的文件,按照技术推论可以进行算法暴力破解,但是破解的时间需要很长,几乎没有人会愿意等待那么久的时间,所以最稳妥的方案就是通过样本评估获得秘钥来批量解密恢复处理。
至于通过哪种方案处理更好,不同的感染环境和需求会有更合适的处理回复方案技术v服务号shuju187提醒大家:电脑中了病毒,第一时间是断网(拔网线)或关机,来保护数据;很多人觉得文件被加密的无所谓了,但是往往会出现更多意外,导致文件无法恢复,或者代价更高,这种案例数不胜数;还有不要尝试去改文件的病毒名称,来还原文件,这是没用的,病毒已经通过算法加密了文件内容,无法正常打开的。而且这种行为还会带来二次加密的风险;如果文件不重要,可以格式化重装系统。