.eking勒索病毒|勒索病毒解密|勒索病毒数据恢复|数据库修复

前言：简介

国内某公司服务器感染了后缀.[restorefiles69@cock.li].eking勒索病毒，公司的服务器文件全部被加密，主要是数据库文件，急需数据恢复，否则公司业务无法进行，经联系91数据恢复工程师远程查看，并沟通协商了相应的解决方案，通过双方远程协同配合，最终在当天晚上顺利完整恢复数据。

下面我们来了解看看这个.eking后缀勒索病毒。

一、什么是.[restorefiles69@cock.li].eking勒索病毒？

.[restorefiles69@cock.li].eking病毒是一种基于文件勒索病毒代码的加密病毒，隶属于国外知名的Phobos勒索病毒家族。这个病毒已在主动攻击中被发现。

.[restorefiles69@cock.li].eking勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。一旦在入侵后电脑系统上执行加密，locked并在文件名后附加“ .[restorefiles69@cock.li].eking”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.id[xxxxxxx].[restorefiles69@cock.li].eking ”，“ 2.jpg ”显示为“ 2.id[xxxxxxx].[restorefiles69@cock.li].eking”。

.[restorefiles69@cock.li].eking勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，该勒索病毒主要是通过带有损坏的宏脚本的word文档进行传播感染。

.eking勒索病毒会通过带有损坏的宏脚本的有毒word文档进行传播。打开文档后，会显示一条安全警告，询问用户是否要启用宏。但是，威胁会通过在 MSWord 自动关闭时启动的内置事件函数绕过此检查。简而言之，宏在目标用户退出文档时执行。宏脚本的目标是通过联系硬编码 URL 地址下载并执行勒索病毒有效负载，然后获取一个文件，然后将其存放在硬编码C盘路径中

当.eking勒索病毒的有效负载文件被执行时，它会为自己创建第二个进程，但这次由于滥用 Explorer.exe 令牌而具有提升的权限。然后，.eking 勒索病毒会调用两个系列的命令。第一组的任务是破坏默认的 Windows 备份功能。它会从本地计算机中删除卷影副本和 Windows 还原副本，禁用自动启动修复并删除备份目录。使用的具体命令有：

vssadmin 删除卷影 /all /quiet

wmic shadowcopy 删除

bcdedit /set {默认} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled 否

wbadmin 删除目录 –quiet

第二组负责禁用 Windows 防火墙，它由适用于 Windows 7 及更高版本的命令和适用于 Windows XP 和 Windows 2003 的命令组成。

为了实现持久性，.eking勒索病毒通过在根键“HKEY_CURRENT_USER”下创建一个自动运行项来修改受感染计算机的注册表。此外，它会将其可执行文件“cs5.exe”的副本创建到两个自动启动文件夹 - '%AppData%\Microsoft\Windows\Start Menu\Programs\Startup' 和 '%ProgramData%\Microsoft\Windows\Start Menu\程序\启动。为了防止任何潜在的冲突，例如在系统启动时执行多个不同的勒索病毒实例，实施了使用 Mutex 对象的检查，以确保只有一个进程正在运行。

二、中了.[restorefiles69@cock.li].eking后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可关注“91数据恢复”进行免费咨询获取数据恢复的相关帮助。

三、恢复案例介绍：

1. 被加密数据情况

一台公司服务器，被加密的数据文件有7000多个，主要是需要恢复业务软件的数据库文件。

2. 数据恢复完成情况

数据完成恢复，所有的文件均已成功恢复，恢复率等于100%。

四、系统安全防护措施建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

①　及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②　尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③　不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④　企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤　数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥　敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦　尽量关闭不必要的文件共享。

⑧　提高安全运维人员职业素养，定期进行木马病毒查杀。

与该病毒同类的后缀病毒还有以下各种后缀，都是同一个病毒家族的，我们团队均可以恢复处理：

.[Chadmad@ctemplar.com].eking

.[helpmedecoding@airmail.cc].eking

.[Harpia2019@aol.com].eking

.[newera@ctemplar.com].eking

.[decrypt20@vpn.tg].eking

.[zhaolingdecrypt@firemail.cc].eking

.[surpaking@tutanota.com].eking

.[Dtramp@tuta.io].eking

.[magicbox@outlookpro.net].eking

.[mikolio@cock.li].eking

.[backupransomware@tutanota.com].eking

.[Recovery7070@aol.com].eking

.[chinadecrypt@msgsafe.io].eking

.[getmydata@bk.ru].eking

.[Basani400@aol.com].eking

.[ransom1999@tutanota.com].eking

.[JackKarter@gmx.com].eking

.[GhostTM@zohomail.com].eking

.[Harpia2019@aol.com].eking

.[Recovery.PC@aol.com].eking

.[958f895@tutanota.com].eking

.[James2020m@aol.com].eking

.[help2021me@aol.com].eking

.[curiosity_08@tutanota.com].eking

.[curiosity_08@tutanota.com].eking

[mrreturn@ctemplar.com].eking

.[Ransomwaree2020@cock.li].eking

.[sidor@airmail.cc].eking

.[decrypt20@firemail.cc].eking

[webweb321@firemail.cc].eking

.[unlocker@decoymail.net].eking

.[restorefiles69@cock.li].eking

.[back2023@proxy.tg].eking