Recientemente, muchas empresas acudieron a mí para consultarme. Los servidores de sus empresas estaban infectados con el ransomware .eking sufijo. Después del envenenamiento, todos los archivos en los servidores estaban encriptados y bloqueados, y no se podían abrir ni usar normalmente, y los nombres de los archivos también fueron alterados. El sufijo eking hace que el negocio de la empresa no se desarrolle con normalidad y tiene un mayor impacto. Después de una estrecha comunicación con ellos y la inspección de archivos, de acuerdo con los resultados de la inspección, les proporcioné las sugerencias de solución correspondientes. Algunas empresas han completado con éxito el trabajo de recuperación de datos de archivos de acuerdo con las sugerencias de solución.
¿Cuál es el origen de este virus ransomware sufijo .eking? ¿Cómo se transmite la infección? ¿Cómo prevenir y rescatar después de una intoxicación? Entendamos juntos.
¿Qué es el virus ransomware del sufijo .eking ?
.eking Suffix extortion virus es un virus de cifrado de archivos malicioso, fue 2020 Nian 5 Yue 17 se encontró en la superficie de los días. El ataque comenzó lentamente, pero desde entonces ha afectado a más y más usuarios en todo el mundo. Según los investigadores, el virus se distribuyó a través de un sitio de torrents incluido con Adobe Acrobat Crack , que es muy popular y facilita la propagación del virus. Una vez que se lanza la carga útil maliciosa, el sufijo .eking comienza la primera etapa del ataque, que consiste en inyectar el proceso .exe malicioso y obtener privilegios administrativos en el sistema. La segunda etapa está relacionada con el cifrado de archivos. Para bloquear los archivos de la víctima, los delincuentes detrás del ransomware utilizan el cifrado y la identificación AES . [[email protected]] .eking sufijo apéndice.
El virus ransomware del sufijo .eking se origina en la famosa familia de ransomware Phobos , que tiene más de 20 miembros, incluidos los ransomware Mamba , Phoenix e ISO . Al igual que sus predecesores, imita el notorio virus de cifrado de archivos de la familia Dharma . Utiliza el mismo estilo para las notas de rescate y proporciona las mismas instrucciones textualmente. Actualmente, el virus del sufijo .eking crea una ventana emergente info.hta o un archivo de texto info.txt en cada carpeta que contiene archivos bloqueados . El archivo contiene dos correos electrónicos para contactos: [email protected] y [email protected] . Sin embargo, no se recomienda ponerse en contacto con el delincuente ni pagar el rescate.
| nombre |
.eking sufijo |
| Familia de afiliación |
El virus pertenece a la familia de virus ransomware Phobos |
| clasificación |
Ransomware / Virus de cifrado de archivos |
| Cifrado |
Según la historia de la familia Phobos , se cree que el sufijo .eking usa la contraseña AES para cifrar archivos en la máquina infectada. |
| Extensión de archivo |
El ransomware usa el sufijo .eking para bloquear archivos. Incluir no limitado a las siguientes versiones de sufijo [[email protected]] .eking sufijo " , " . [[email protected]] .eking sufijo " , " . [[email protected]] .eking sufijo " , " . [[email protected]] .eking sufijo " , " . [[email protected]] .eking sufijo " , " . [[email protected]] .eking sufijo " , " . [[email protected]] .eking sufijo " , " .[[email protected]] .eking sufijo " , " . [[email protected]] . Wicking "" [[email protected]] .eking sufijo " , " [[email protected]] .eking sufijo " , " [[email protected]] .eking sufijo " , " . [ICQ @ fartwetsquirrel] . Mecha "" . [[email protected]] . .eking sufijo " , " [[email protected]] .eking sufijo " , " [[email protected]] .eking sufijo " ,"[[email protected]] .eking sufijo " , "[[email protected]] .eking sufijo " , "[[email protected]] .eking sufijo " , "[moon4x4 @ tutanota.com] .eking sufijo " , " [[email protected]] .eking sufijo " y " . [[email protected]] .eking sufijo |
| Modo de propagación |
Actualmente, el virus se propaga más activamente a través del sitio web Torrent incluido con Adobe Acrobat Crack . Sin embargo, los administradores de ransomware también pueden usar RDP abierto o distribuir cargas útiles a través de archivos adjuntos maliciosos de correo electrónico no deseado. |
| eliminar |
La única posibilidad de eliminar el virus ransomware del sistema es utilizar un motor AV profesional para realizar un análisis completo. |
| Descifrado de archivos |
Desafortunadamente, no existe un descifrador oficial de sufijos .eking. |
El virus de extensión de archivo .eking se ha detectado como la última variante de la familia de virus ransomware Phobos . Según la persona que me pidió ayuda, descargó un software, que es una herramienta de craqueo especial para Adobe Acrobat . Después de un tiempo, el archivo (como fotos, videos, documentos, etc.) se bloqueó.
Desafortunadamente, actualmente no existe ninguna otra herramienta que pueda descifrar archivos cifrados por el virus ransomware .eking suffix. En otras palabras, solo los desarrolladores con el sufijo .eking tienen la herramienta de descifrado correcta. Aunque, el problema con la mayoría de los desarrolladores de ransomware es que, incluso después del pago, a menudo no envían herramientas y / o claves de descifrado. En pocas palabras, las víctimas que confían en los ciberdelincuentes y les pagan un rescate a menudo son engañadas.
¿Cómo infecta mi computadora el virus ransomware .eking ?
Los métodos más comunes utilizados por los ciberdelincuentes para difundir ransomware y otro software malicioso son las campañas de spam, los programas de actualización de software falsos, los canales de descarga no confiables, las herramientas de activación de software no oficiales y los caballos de Troya. Cuando utilizan campañas de spam, envían correos electrónicos que contienen archivos adjuntos o sitios web maliciosos, así como enlaces diseñados para descargar archivos maliciosos. De cualquier manera, su propósito principal es engañar al destinatario para que abra (ejecute) archivos maliciosos diseñados para instalar software malicioso. En la mayoría de los casos, los archivos maliciosos adjuntos a los correos electrónicos incluyen documentos de Microsoft Office , archivos de almacenamiento (como ZIP , RAR ), documentos PDF , archivos JavaScript y archivos ejecutables (como .exe ). Otro método popular de propagación de malware es mediante programas de actualización de software falsos. Generalmente, las herramientas de actualización de terceros no oficiales no actualizarán ni repararán ningún software instalado. Solo usan vulnerabilidades, fallas en algún software desactualizado para instalar malware o infectar el sistema. Además, también se pueden utilizar canales de descarga de software poco fiables para distribuir malware. Los usuarios que a menudo descargan archivos a través de redes peer-to-peer (como clientes torrent , eMule , varios alojamientos de archivos gratuitos, sitios de descarga de software gratuitos y otros canales similares) descargan archivos maliciosos. Estos archivos están infectados con malware cuando se ejecutan. Vale la pena mencionar que estos archivos a menudo se disfrazan como archivos legítimos y regulares. Software " crack "Una herramienta es un programa que se utiliza cuando los usuarios buscan activar software de pago de forma gratuita. Sin embargo, no lo activaron, pero permitieron que esas herramientas instalaran malware de tipo ransomware y otro software malicioso. Los programas caballo de Troya, si están instalados, están diseñados para propagar varios programas maliciosos. En resumen, si se ha instalado este tipo de programa malicioso, es probable que cause otros daños.
¿Cómo protegerse del virus ransomware .eking suffix?
Los enlaces y archivos adjuntos en correos electrónicos irrelevantes no deben abrirse, especialmente si se recibieron de direcciones sospechosas desconocidas. Antes de abrir su contenido, siempre debe analizar cuidadosamente dichos correos electrónicos. El software solo se puede descargar desde el sitio web oficial o mediante un enlace directo. Las fuentes de páginas no oficiales, descargadores de terceros (e instaladores) y otros canales mencionados anteriormente no son creíbles. Además, es importante actualizar y activar el software correctamente. Para ser más precisos, esta operación debe realizarse utilizando la función diseñada (o herramienta) proporcionada por el desarrollador de software oficial. Todas las demás herramientas se utilizan comúnmente para distribuir software malintencionado. Además, es ilegal utilizar herramientas de terceros no oficiales para activar software con licencia. Finalmente, la computadora debe ser escaneada regularmente con software antivirus o antispyware de buena reputación, que siempre debe estar actualizado.
Es . ¿Cómo restaurar el archivo de ransomware Phobos con el sufijo eking ?
Este tipo de ransomware pertenece a: la familia Phobos , actualmente no admite el descifrado .
1. Si los archivos no se necesitan con urgencia, puede hacer una copia de seguridad de ellos y esperar a que el pirata informático sea capturado o descubierto a conciencia, y luego liberar la herramienta de descifrado.
2. Si el archivo se necesita con urgencia, puede agregar un número de servicio ( shujuxf ) para enviar muestras de archivos para consultas gratuitas sobre soluciones de recuperación de datos, o buscar otros servicios de descifrado de terceros.
Prevención de ransomware - sugerencias diarias de protección:
La prevención es mucho más importante que el rescate, por lo que para evitar este tipo de incidentes, se recomienda encarecidamente que tome las siguientes medidas de protección a diario:
1 . No utilice la misma cuenta y contraseña para varias máquinas, para evitar la trágica situación de " una máquina se cae y toda la red se paraliza " ;
2 . La contraseña de inicio de sesión debe ser lo suficientemente larga y compleja, y la contraseña de inicio de sesión debe cambiarse periódicamente;
3 . Controle estrictamente los permisos de las carpetas compartidas y utilice la colaboración en la nube tanto como sea posible cuando sea necesario compartir datos.
4 . Parche las vulnerabilidades del sistema a tiempo y no ignore los parches de seguridad para varios servicios comunes.
5 . Cierre puertos y servicios no esenciales como 135 , 139 , 445 , 3389 y otros puertos de alto riesgo.
6 . Backup backup backup! ! ! La información importante debe aislarse y respaldarse periódicamente. Realice una copia de seguridad RAID , una copia de seguridad remota de varias máquinas y una copia de seguridad en la nube híbrida. Para archivos importantes o confidenciales, se recomienda elegir varios métodos para realizar la copia de seguridad;
7 . Mejore la conciencia de seguridad, no haga clic en enlaces desconocidos, archivos adjuntos de correo electrónico de fuentes desconocidas y archivos enviados por extraños a través del software de mensajería instantánea. Realice un análisis de seguridad antes de hacer clic o ejecutar, e intente descargar e instalar software de canales seguros y confiables;
8 . Instale software de seguridad profesional y asegúrese de que la supervisión de seguridad esté encendida y funcionando normalmente, y actualice el software de seguridad a tiempo.