广东
目录
前言:简介
一、什么是.consultraskey-G-XXXXXXX勒索病毒?
二、中了.consultraskey-G-XXXXXXX后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
四、系统安全防护措施建议:
前言:简介
近日,91数据恢复研究中心捕获一起Mallox勒索病毒攻击事件,黑客在成功侵入内网后下发勒索病毒文件,勒索病毒运行后迅速加密数据库文件,在文件名后附加“ .consultraskey-G-ID号”后缀来重命名所有加密文件,导致文件不可用,影响业务运行,同时还会尝试在内网中横向移动,获取更多设备的权限并进一步扩散。
这个.consultraskey-G-XXXXXXX后缀勒索病毒已经是Mallox勒索病毒家族今年的第十几个升级变种了,同时也是自从今年发现.consultraskey勒索病毒至今,短短几个月时间,这个病毒就升级了3代,从consultraskey-F到consultraskey-R直到现在的consultraskey-G,这其中有什么变化呢?经过我们检测研究发现,FARGO4这个后缀比前面三代的加密占比不同,根据文件的加密时间观察对比,其加密速度也在提升,这将导致数据的恢复难度再一次升级,下面我们来了解看看这个.consultraskey-G-ID号后缀勒索病毒。
如果不幸感染了这个勒索病毒,您可关注“91数据恢复”免费咨询获取数据恢复的相关帮助。
一、什么是.consultraskey-G-XXXXXXX勒索病毒?
.consultraskey-G-ID号病毒是一种基于文件勒索病毒代码的加密病毒,隶属于国外知名的Mallox勒索病毒家族。这个病毒已在主动攻击中被发现。
.consultraskey-G-ID号勒索病毒以某种方式进入计算机后,会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。一旦在入侵后电脑系统上执行加密,并在文件名后附加“ .consultraskey-G-XXXXXXXXX”扩展名。例如,最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.consultraskey-G-XXXXXXXXX”,“ 2.jpg ”显示为“ 2.jpg.consultraskey-G-XXXXXXXXX”。
Mallox 勒索病毒家族最新变种的加载器采用C# 编写,函数名称严重混淆且中间添加了很多垃圾运算指令,这给沙箱自动化分析和人工逆向都带来了不小的困难。
Mallox 勒索病毒最终加密文件使用的是chacha20 算法,chacha20 算法是salsa20 流密码的一种变体,该对称算法可在短时间内加密主机所有文件。
.consultraskey-G-XXXXXXX勒索病毒是如何传播感染的?
经过分析多家公司中毒后的机器环境判断,Mallox勒索病毒家族基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
二、中了.consultraskey-G-XXXXXXX后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可关注“91数据恢复”进行免费咨询获取数据恢复的相关帮助。
三、恢复案例介绍:
1. 被加密数据情况
一台公司服务器,被加密的数据文件有6万多个文件。
2. 数据恢复完成情况
数据完成恢复,所有的文件均已成功恢复,恢复率等于100%。
四、系统安全防护措施建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的:
.devicZz勒索病毒
.consultransom勒索病毒
.mallox勒索病毒
.bozon勒索病毒
.consultraskey-F-XXXXXX
.consultraskey-R-XXXXXX
.consultraskey-G-XXXXXX
.consultraskey勒索病毒
.elmorenolan29勒索病毒
.bozon3勒索病毒
.FARGO勒索病毒
.FARGO勒索病毒
.FARGO2勒索病毒
.FARGO3勒索病毒
.FARGO4勒索病毒
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
