目录
前言:案例简介
一、什么是.file勒索病*?
二、中了.file后缀勒索病*文件怎么恢复?
三、恢复案例介绍:
.被加密数据情况
.数据恢复完成情况
.数据恢复工期
前言:案例简介近日,国内很多公司都感染了后缀.file勒索病*,甚至国内某个软件Saas云服务器全部沦陷,9数据恢复团队已经接到很多公司的求助,这些公司的服务器都因中*感染.file后缀勒索病*而导致公司业务停摆或耽误,.file后缀勒索病*突然肆虐传播,而且对数据的破坏率比其他病*稍高,这个勒索病*究竟是什么来头?
幸运的是,目前此后缀的数据恢复率较高,有较多的成功恢复案例,有需要的可以联系9数据恢复团队咨询,下面我们来分析看看这个.file后缀勒索病*。
一、什么是.file勒索病*?.file病*是一种基于file勒索病*代码的加密病*。在主动攻击活动中已经发现了这种威胁。有几种分发技术可用于在目标操作系统上传送恶意文件,例如远程桌面爆破,垃圾邮件,损坏的软件安装程序,洪流文件,伪造的软件更新通知和被黑的网站。file勒索病*以一种或另一种方式进入计算机后,它将更改Windows注册表,删除卷影副本,打开/写入/复制系统文件,产生在后台运行的factura.exe进程,加载各种模块等。加密数据后,file勒索病*还与Command&Control服务器联系,为每个受害者发送一个RSA私钥(解密文件时需要使用它)。最终,该恶意软件会加密图片,文档,数据库,视频和其他文件,仅保留系统数据,还有其他一些例外。一旦在目标系统上执行了.file勒索病*的程序,就会触发攻击的第一阶段。一旦file文件病*进行了初步的恶意修改,它便可以激活内置的密码模块,从而通过该模块设置数据加密过程的开始。在攻击的此阶段,file病*会扫描所有系统驱动器以寻找目标文件.
万一不幸感染了这个勒索病*,您应该做的第一件事就是断网检查数据中*情况并寻找专业数据恢复公司的帮助。
感染.file后缀勒索病*建议立马做以下几件事情:
.将感染病*的断开互联网连接;
.拔下所有存储设备;
.注销云存储帐户;
4.关闭所有共享文件夹;
5.寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改,这将二次破坏文件内容,可能导致后期数据无法恢复。
.file勒索病*是如何传播感染的?
经过分析多家公司中*后的机器环境判断,勒索病*基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
远程桌面口令爆破
关闭远程桌面,或者修改默认用户administrator
共享设置
检查是否只有共享出去的文件被加密。
激活/破解
检查中招之前是否有下载未知激活工具或者破解软件。
僵尸网络
僵尸网络传播勒索病*之前通常曾在受害感染设备部署过其它病*木马,可通过使用杀*软件进行查杀进行判断。
第三方账户
检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。
二、中了.file后缀勒索病*文件怎么恢复?此后缀文件的修复成功率大概在95%~99.9%之间。
此后缀病*文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中*文件的病*特征与加密情况,才能确定最适合的修复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀*后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf9)进行免费咨询获取数据恢复的相关帮助。
三、恢复案例介绍.被加密数据情况一台服务器,被加密的文件数据量约4万多个,数据量大约00G+。
.数据恢复完成情况数据完成恢复,一共4万多个文件,因为这个加密病*对文件具有不确定的破坏性,所以有90个文件未恢复,但基本都属于软件安装目录的文件,非重要文件,恢复率等于99.99%。恢复的文件均可以正常打开及使用。
.数据恢复工期恢复工期:
一台服务器,在收到客户下单当天开始通宵执行恢复,00G+的数据恢复量,最终于第二天完成了全部数据的恢复,耗时6小时。
系统安全防护措施建议:.多台机器,不要使用相同的账号和口令
.登录口令要有足够的长度和复杂性,并定期更换登录口令
.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀*软件拦截查杀,不要添加信任继续运行。
9.保存良好的备份习惯,尽量做到每日备份,异地备份。
预览时标签不可点收录于话题#个上一篇下一篇