今天接到一個案例 同胞客戶 數據庫中了勒索病毒, 數據庫有48G大小 被加密的擴展名為 .eight勒索病毒。 經過分析加密不嚴重,經過修復處理恢復了99.9%的數據,
修復后的數據庫可以直接被ERP使用。 經過檢測 如下圖 完整度不錯,所以恢復質量會很好。
下面介紹這種勒索病毒
是Phobos勒索軟件系列的一部分 。它會加密文件,更改文件名,創建贖金消息並在彈出窗口中顯示另一個消息。八個通過添加受害者的ID和use_harrd@protonmail.com電子郵件地址,並在文件名后附加“ .eight ”擴展名來重命名加密文件。例如,它將名為“ 1.jpg ”的文件重命名為“ 1.jpg.id [1E857D00-2776]。[use_harrd@protonmail.com] .eight ”,依此類推。它在文本文件(“ .info.txt ”)中創建勒索消息,並在彈出窗口(“ info.hta ”)中顯示另一個。
“ .info.txt”文本文件包含兩個電子郵件地址(se_harrd@protonmail.com和useHHard@cock.li),可用於聯系Aug的開發人員。彈出窗口指出解密工具的成本取決於聯系它們的速度。在付款之前,受害者被允許將最多五個文件發送給Three的開發人員,他們免費提供解密文件。提到這些文件不應包含有價值的信息。還警告受害者不要重命名加密文件或嘗試使用其他軟件解密它們,因為這可能會導致永久性數據丟失或增加解密成本。不幸的是,沒有其他工具能夠解密受到八種勒索軟件破壞的文件。因此,只有開發人員才能使用正確的工具。盡管如此,不要相信網絡犯罪分子(支付任何贖金),因為您極有可能被騙。受害者即使付款后也經常不獲得解密工具。在這種情況下,免費恢復文件的唯一方法是從備份中還原文件。請注意,刪除勒索軟件會阻止進一步的加密,但是,即使刪除后,已經加密的文件仍然無法訪問。
鼓勵用戶支付贖金以解密其泄露數據的消息的屏幕截圖:
有許多程序被歸類為勒索軟件。Teslarvng,CoronaVi2022和MDEN就是其中的一些例子。通常,該軟件會鎖定(加密)文件,並使文件無法訪問,無法使用,除非受害者使用可以從勒索軟件開發人員處購買的特定工具/密鑰對其進行解密。常見變量包括解密成本和加密算法(對稱或非對稱)。)勒索軟件用於加密文件。如果沒有勒索軟件包含錯誤/缺陷或未完成,通常如果沒有僅由網絡犯罪分子擁有的工具就無法解密文件。在大多數情況下,避免由勒索軟件引起的數據和財務損失的唯一方法是從備份中還原文件。因此,所有數據都應備份在遠程服務器或未插入的存儲設備上。
勒索軟件如何感染我的計算機?
大多數網絡罪犯使用以下方法之一擴散勒索軟件和其他惡意程序:垃圾郵件活動/電子郵件,特洛伊木馬,不可信的軟件下載渠道,軟件“破解”工具和偽造的更新程序。惡意軟件通常通過發送帶有惡意附件(或下載惡意文件的Web鏈接)的電子郵件來傳播。通常,網絡罪犯會附加Microsoft Office文檔,存檔文件(ZIP,RAR),可執行文件(.exe),PDF文檔或JavaScript文件。當它們打開/執行時,它們會感染惡意軟件。木馬是惡意程序,僅當計算機上已經安裝了惡意程序時,它們才會造成損壞。安裝后,它們會打開“后門”供其他此類程序滲透。木馬通常以這種方式引起鏈條感染。可疑軟件下載渠道的示例包括免費文件托管,免費軟件下載網站,對等網絡(例如torrent客戶端,eMule),非官方頁面,第三方安裝程序等。網絡罪犯經常使用這些文件托管惡意文件。打開通過此類資源下載的文件的用戶可能會導致安裝惡意軟件。軟件“破解” /非官方激活工具據說可以免費激活許可的軟件(繞過付費激活),但是,它們經常安裝惡意軟件,並且不激活任何軟件。偽造的軟件更新程序通常會通過利用操作系統上安裝的過時軟件的漏洞或通過安裝惡意軟件而不是更新和修復程序來造成損害。eMule),非官方頁面,第三方安裝程序等。網絡罪犯經常使用這些文件來托管惡意文件。打開通過此類資源下載的文件的用戶可能會導致安裝惡意軟件。軟件“破解” /非官方激活工具據說可以免費激活許可的軟件(繞過付費激活),但是,它們經常安裝惡意軟件,並且不激活任何軟件。偽造的軟件更新程序通常會通過利用操作系統上安裝的過時軟件的漏洞或通過安裝惡意軟件而不是更新和修復程序來造成損害。eMule),非官方頁面,第三方安裝程序等。網絡罪犯經常使用這些文件來托管惡意文件。打開通過此類資源下載的文件的用戶可能會導致安裝惡意軟件。軟件“破解” /非官方激活工具據說可以免費激活許可的軟件(繞過付費激活),但是,它們經常安裝惡意軟件,並且不激活任何軟件。偽造的軟件更新程序通常會通過利用操作系統上安裝的過時軟件的漏洞或通過安裝惡意軟件而不是更新和修復程序來造成損害。/非正式激活工具據說可以免費激活許可的軟件(繞過付費激活),但是,它們通常會安裝惡意軟件,並且不會激活任何軟件。偽造的軟件更新程序通常會通過利用操作系統上安裝的過時軟件的漏洞或通過安裝惡意軟件而不是更新和修復程序來造成損害。/非正式激活工具據說可以免費激活許可的軟件(繞過付費激活),但是,它們通常會安裝惡意軟件,並且不會激活任何軟件。偽造的軟件更新程序通常會通過利用操作系統上安裝的過時軟件的漏洞或通過安裝惡意軟件而不是更新和修復程序來造成損害。
| 病毒類型 | 勒索病毒 加密文件勒索錢財 | |
| 擴展名 | .eight | |
| 留下的信息文本 | info.txt, info.hta | |
| 郵件地址 | use_harrd@protonmail.com, 100returnguarantee@keemail.me, useHHard@cock.li, nopain555@protonmail.com, foxbox@airmail.cc, vivanger123@tutanota.com, ICQ@VIRTUALHORSE, 2020x0@protonmail.com, bondy.weinholt@aol.com, fidelako@int.pl, shelfit@airmail.cc, bertylarwayorstoner@jabb.im, ICQ@HONESTHORSE, robertwels@airmail.cc, sorysorysory@cock.li, helprecoveryfiles@cock.li, ezequielanthon@aol.com, xsupportx@countermail.com, messi_tr_2020@protonmail.com, mccreight.ellery@tutanota.com, verious1@cock.li, willi.stroud@aol.com, foxbox@xmpp.cz, hershel_houghton@aol.com, jewkeswilmer@aol.com, patiscaje@airmail.cc, decryptfilesonlinebuy@pm.me, ICQ@Horseleader, Bk_Data@protonmail.com, Petya20@tuta.io, SupportC4@elude.in, decrypt2021@elude.in, wang_team888@aol.com, barnabas_simpson@aol.com, emerson.parkerdd@aol.com, brandon_draven@protonmail.com, erich_northman@protonmail.com, lyontrevor@aol.com, mccandlessronald@aol.com, AaronKennedy74@cock.li, bhattarwarmajuthani@420blaze.it, brokenbrow.teodorico@aol.com, cornellmclearey@aol.com, ximenezpickup@aol.com, verilerimialmakistiyorum@mail.ru, sookie.stackhouse@gmx.com, dupuisangus@aol.com, s.boultons@aol.com, blair_lockyer@aol.com, murryu@aol.com, chocolate_muffin@tutanota.com, frankfbagnale@gmail.com, frankfbagnale@cock.li, victorlustig@gmx.com, elfbash@protonmil.com, alexei.v@aol.com, eppinger.adams@aol.com, martinwilhelm1978@cock.li, fredmoneco@tutanota.com, andreashart1834@cock.li, recoveryufiles@tutamail.com, cheston_windham@aol.com, augusto.ruby@aol.com, coxbarthel@aol.com, tsai.shen@mailfence.com, frankmoffit@aol.com, benwell_jonathan@aol.com, onlybtcp@tutanota.com, herbivorous@keemail.me, bernard.bunyan@aol.com, dillon.dabzac@aol.com, sofiabecker21@cock.li, dalgliesh.aaron@aol.com, cullan_cash@aol.com, decode@criptext.com, howtodecrypt2@cock.li, serhio.vale@tutanota.com, totalsupportcom@cock.lim, aa1b2c3cc@protonmail.com, 131845@cock.li, paynotanotherway@tutanota.com, kalimenok@gmx.com, clausmeyer070@cock.li, angus_frankland@aol.com, johannesjokinen1977@gmx.com, liamwake714@tutanota.com, matheuscosta0194@gmx.com, liamwake714@tutanota.com, tsai.shen@xmpp.jp (Jabber), vickre me (Wickr), @phobos_support (Telegram) | |
| 殺毒軟件報毒名稱 | Avast (Win32:Malware-gen), BitDefender (Gen:Variant.Ulise.99735), ESET-NOD32 (A Variant Of Win32/Filecoder.Phobos.C), Kaspersky (HEUR:Trojan.Win32.Generic), Full List Of Detections (VirusTotal) | |
| 症狀 | 所有文件擴展名被添加.eight | |
| 如何中毒 | 郵件附件含宏病毒 bt種子站 破解補丁 遠程桌面等等 | |
| 危害程度 |
|
勒索軟件彈出窗口(“ info.hta ”)中顯示的文本:
您的所有文件都已加密!
由於PC的安全性問題,所有文件均已加密。如果要還原它們,請給我們發送電子郵件到use_harrd@protonmail.com
。在您的郵件標題中寫這個ID 1E857D00-2776
如果在24小時內無人接聽,請給我們寫這個電子郵件:useHHard @ cock .li
您必須支付使用比特幣進行解密的費用。價格取決於您給我們寫信的速度。付款后,我們將向您發送解密所有文件的工具。
免費解密作為保證
在付款之前,您最多可以向我們發送5個文件進行免費解密。文件的總大小必須小於4Mb(未歸檔),並且文件不應包含有價值的信息。(數據庫,備份,大型Excel工作表等)
如何獲取比特幣
購買比特幣最簡單的方法是LocalBitcoins網站。您必須注冊,單擊“購買比特幣”,然后按付款方式和價格選擇賣方。
https://localbitcoins.com/buy_bitcoins
另外,您還可以在這里找到其他購買比特幣的地方和初學者指南:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意!
不要重命名加密文件。
請勿嘗試使用第三方軟件解密數據,否則可能會導致永久性數據丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲(它們會增加我們的費用),或者您可能成為騙局的受害者。
