all4444/Dragon4444勒索病毒解密成功北京/上海杭州南京广州/深圳/西安勒索病毒解密

勒索病毒解密专家中国复旦解密
复旦解密公司，接到杭州某设计单位信息主任的电话，局域网中有12台服务器出现问题，全部有用的文件和数据库被增加all4444的后缀全部不能正常使用，根据安全公司的认定是中了勒索病毒，得知我们复旦解密可以处理这个问题直接给我们打电话来咨询。

     我们派出了距离该公司最近的杭州办事处的工程师前往分析问题。

复旦解密现场勘查报告：
中毒台数14台，两台备份机器 丢弃 只处理12台
其中文件服务器2台，数据量20T
应用数据库6台，数据1.4T 数据库有orcle和sql
应用服务器6台，数据426G
财务服务器2台金蝶erp1台
处理时间 6个小时成功率99%付款方式对公 签订合同
现场图片：

复旦解密描述病毒特征：
复旦解密成功破解最近一段时间,.COMBO和Dragon4444勒索病毒横行霸道, 每天被加密勒索的企业太多了。

.COMBO 跟以前的.BIP .JAVA 等加密方法类似 都是加密数据库0-32个块(每块按8192字节计算) 对于这种加密 一般

恢复数据库数据大部分可以无损；

至于最近出来的 .XX4444加密 跟前面的ALCO加密一个方式 都是从0块开始加密 每隔8192字节加密下一个块，一般加密到319块 共加密160个块。

另外尾部是向前同样方案加密160个块。 这种可以参考同样的结构库 或者好的备份 来恢复数据， 会有损 但总体效果可以.

还有 最近遇到 .NOBAD 扩展名加密,是个狠角色，有的数据库文件被加密前4096个块，。有的被加密前面2048个块。 如果没有好的结构库或者老备份 那么恢复会比较难办.

难办归难办 如果不想联系×××，我们还是可以恢复需要的数据.

oralce mssql mysql mongodb postgresql 等等数据库文件或者备份都可以通过恢复手段恢复数据,无需联系×××

扫描二维码关注公众号，回复： 3323420 查看本文章

近日，复旦解密发现Globelmposter勒索病毒已经更新到3.0变种，受影响的系统，数据库文件被加密破坏，病毒将加密后的文件重命名为.Ox4444扩展名，并要求用户通过邮件沟通赎金跟解密密钥等。目前国内多家大型医院中招，呈现爆发趋势。深信服紧急预警，提醒广大用户做好安全防护，警惕Globelmposter 勒索。

病毒名称：Globelmposter3.0 变种

病毒性质：勒索病毒

影响范围：已有多家医院中招，呈现爆发趋势

危害等级：高危

病毒分析

病毒描述

Globelmposter 勒索病毒今年的安全威胁热度一直居高不下。早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒×××，×××手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名也不断变化，有：.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。

这次爆发的样本为Globelmposter3.0家族的变种，其加密文件使用Ox4444扩展名，由于Globelmposter采用RSA+AES算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及×××的联系方式等。

复旦解密提示病毒本体为一个win32 exe程序，病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录，删除原文件并设置自启动项实现开机自启动，注册表项为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。
加密勒索

加密对象：可移动磁盘，固定磁盘，网络磁盘三种类型的磁盘。

病毒防御

勒索病毒解密领军企业 复旦解密提示大家
1、及时给电脑打补丁，修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

4、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！

5、复旦服防火墙、终端检测响应平台（EDR）均有防爆破功能，防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用深信服安全感知+防火墙+EDR，对内网进行感知、查杀和防护
咨询与服务

您可以通过以下方式联系我们，获取关于Globelmposter的免费咨询及支持服务：

1）拨打电话151-691-21444（已开通勒索软件专线）