目錄前言:簡(jiǎn)介一、什么是 .consultrasky-F-XXXXX后綴勒索病毒?二�����、中了.consultrasky后綴勒索病毒文件怎么恢復(fù)?三����、恢復(fù)案例介紹:前言:簡(jiǎn)介.consultrasky-F-XXXXX后綴勒索病毒是海外著名勒索病毒大家族Mallox(TargetCompany)的新式傳播病毒,該變種病毒與Mallox勒索病毒家族不一樣的地方是其加密部分占比更多�,加密算法更加完善,近期大家早已收到一些的公司咨詢(xún)與尋求幫助�,請(qǐng)各公司盡量加強(qiáng)防范。近日���,某公司遭受.consultrasky勒索病毒攻擊��,攻擊者對(duì)幾臺(tái)機(jī)器設(shè)備實(shí)現(xiàn)了數(shù)據(jù)加密��。為了避免攻擊進(jìn)一步擴(kuò)散�����,該公司關(guān)掉了一部分網(wǎng)站服務(wù)器�,促使一部分員工沒(méi)法開(kāi)展工作中。據(jù)了解����,機(jī)器設(shè)備中的資料被加上了“.consultrasky-F-XXXXX”后綴名,XXXXXX是加密ID號(hào),每臺(tái)機(jī)器的XXXXX部分都不一樣���,而且沒(méi)法正常的開(kāi)啟�����。根據(jù)后綴名可明確該病毒感染為Mallox大家族勒索病毒����。該病菌關(guān)鍵利用RDP遠(yuǎn)程桌面連接弱口令開(kāi)展攻擊����,因?yàn)樵S多客戶(hù)設(shè)定的登陸密碼太過(guò)于簡(jiǎn)易,非常容易被攻擊者暴力破解密碼�����,并將勒索病毒嵌入設(shè)備中實(shí)行加密文件。下面我們來(lái)了解看看這個(gè) .consultrasky-F-XXXXX后綴勒索病毒�。
一、什么是 .consultrasky-XXXXX勒索病毒?.consultraskey-ID號(hào)病毒是一種基于文件勒索病毒代碼的加密病毒����,隸屬于國(guó)外知名的勒索病毒家族Mallox�。這個(gè)病毒已在主動(dòng)攻擊中被發(fā)現(xiàn)。.consultraskey-ID號(hào)勒索病毒以某種方式進(jìn)入計(jì)算機(jī)后���,會(huì)更改Windows注冊(cè)表����、刪除卷影副本��、打開(kāi)/寫(xiě)入/復(fù)制系統(tǒng)文件��、生成后臺(tái)運(yùn)行的進(jìn)程���、加載各種模塊等���。一旦在入侵后電腦系統(tǒng)上執(zhí)行加密,.maxoll并在文件名后附加“.consultraskey-ID號(hào)”擴(kuò)展名�。例如�,最初標(biāo)題為“ 1.jpg ”的文件顯示為“ 1.jpg.consultraskey-XXXXX”����,“ 2.jpg ”顯示為“ 2.jpg.consultraskey-XXXXX”,依此類(lèi)推�。..consultraskey還創(chuàng)建了一個(gè)說(shuō)明文件。.consultraskey-XXXXX��,.maxoll, .bozon�����,.explus�,.avast,.devicZz��,.consultransom��,.mallox����,.carone,.exploit�,.architek,.brg����,.herrco�����,artiis等勒索病毒感染對(duì)于大多數(shù)殺毒軟件識(shí)別來(lái)說(shuō)可能非常具有挑戰(zhàn)性����,因?yàn)槲募用苓^(guò)程完成后不會(huì)損壞文件�。因此,您的殺毒軟件不太可能警告您系統(tǒng)后臺(tái)正在進(jìn)行文件加密過(guò)程��。這是因?yàn)?���,?shí)際上�,加密程序是一種被廣泛使用的數(shù)據(jù)保護(hù)技術(shù),一般情況下不會(huì)造成文件損壞�����,所以殺毒軟件都不會(huì)阻止這個(gè)過(guò)程����,這也是為什么很多受害者反饋機(jī)器上有運(yùn)行安全防護(hù)軟件�����,但是卻沒(méi)有攔截住此文件加密行為����。該病毒感染會(huì)停止很多關(guān)鍵的Windows過(guò)程�,便于更迅速地?cái)?shù)據(jù)加密數(shù)據(jù)信息。大家對(duì)中毒了設(shè)備開(kāi)展了剖析并得出以下結(jié)論:���,Mallox勒索病毒大家族混和應(yīng)用了Chacha20和AES-128優(yōu)化算法��,在數(shù)據(jù)加密數(shù)據(jù)信息上載入了穩(wěn)固的登陸密碼并留有敲詐勒索信表明文檔��。.consultrasky-XXXXX后綴病毒勒索信RECOVERY INFORMATION !!!.txt說(shuō)明文件內(nèi)容:YOUR FILES ARE ENCRYPTED !!!TO DECRYPT, FOLLOW THE INSTRUCTIONS:To recover data you need decrypt tool.To get the decrypt tool you should:1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
5.Your key is only kept for seven days beyond which it will never be decrypted!
6.Do not rename, do not use third-party software or the data will be permanently damaged!
7.Do not run any programs after the computer is encrypted. It may cause program damage!CONTACT US:
consult.raskey@tutanota.com
If no response is received within 12 hours contact: consult.raskey@onionmail.orgID:17052022+oaisMCgbef18b65.consultrasky-XXXXX勒索病毒是怎樣散播感染的?通過(guò)分析幾家公司感染該勒索病毒后的設(shè)備自然環(huán)境及系統(tǒng)軟件日志分析�����,Mallox勒索病毒大家族幾乎是根據(jù)下面多種方法侵入�。
二����、中了.consultrasky后綴勒索病毒文件怎么恢復(fù)?此后綴病毒文件由于加密算法的原因,每臺(tái)感染的電腦服務(wù)器文件都不一樣,需要獨(dú)立檢測(cè)與分析加密文件的病毒特征與加密情況�,才能確定最適合的恢復(fù)方案?��?紤]到數(shù)據(jù)恢復(fù)需要的時(shí)間�、成本��、風(fēng)險(xiǎn)等因素�����,建議如果數(shù)據(jù)不太重要����,建議直接全盤(pán)掃描殺毒后全盤(pán)格式化重裝系統(tǒng),后續(xù)做好系統(tǒng)安全防護(hù)工作即可���。如果受感染的數(shù)據(jù)確實(shí)有恢復(fù)的價(jià)值與必要性,可添加我們的技術(shù)服務(wù)號(hào)(sjhf91)進(jìn)行免費(fèi)咨詢(xún)獲取數(shù)據(jù)恢復(fù)的相關(guān)幫助�。
三、恢復(fù)案例介紹:1. 被加密數(shù)據(jù)情況一臺(tái)公司服務(wù)器���,需要恢復(fù)的數(shù)據(jù)104萬(wàn)個(gè)+�,客戶(hù)主要需要恢復(fù)數(shù)據(jù)庫(kù)文件。
2. 數(shù)據(jù)恢復(fù)完成情況數(shù)據(jù)完成恢復(fù)�,104萬(wàn)+個(gè)文件均全部100%恢復(fù)?��;謴?fù)完成的文件均可以正常打開(kāi)及使用�。
四�����、系統(tǒng)安全防護(hù)措施建議:預(yù)防遠(yuǎn)比救援重要�����,所以為了避免出現(xiàn)此類(lèi)事件�,強(qiáng)烈建議大家日常做好以下防護(hù)措施:① 及時(shí)給辦公終端和服務(wù)器打補(bǔ)丁,修復(fù)漏洞�����,包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁���,防止攻擊者通過(guò)漏洞入侵系統(tǒng)�。② 盡量關(guān)閉不必要的端口�����,如139、445��、3389等端口��。如果不使用��,可直接關(guān)閉高危端口����,降低被漏洞攻擊的風(fēng)險(xiǎn)。③ 不對(duì)外提供服務(wù)的設(shè)備不要暴露于公網(wǎng)之上��,對(duì)外提供服務(wù)的系統(tǒng)����,應(yīng)保持較低權(quán)限。④ 企業(yè)用戶(hù)應(yīng)采用高強(qiáng)度且無(wú)規(guī)律的密碼來(lái)登錄辦公系統(tǒng)或服務(wù)器����,要求包括數(shù)字��、大小寫(xiě)字母�����、符號(hào),且長(zhǎng)度至少為8位的密碼��,并定期更換口令����。⑤ 數(shù)據(jù)備份保護(hù),對(duì)關(guān)鍵數(shù)據(jù)和業(yè)務(wù)系統(tǒng)做備份���,如離線備份���,異地備份,云備份等�����, 避免因?yàn)閿?shù)據(jù)丟失����、被加密等造成業(yè)務(wù)停擺,甚至被迫向攻擊者妥協(xié)�。⑥ 敏感數(shù)據(jù)隔離,對(duì)敏感業(yè)務(wù)及其相關(guān)數(shù)據(jù)做好網(wǎng)絡(luò)隔離���。避免雙重勒索病毒在入侵后輕易竊取到敏感數(shù)據(jù)�����,對(duì)公司業(yè)務(wù)和機(jī)密信息造成重大威脅����。⑦ 盡量關(guān)閉不必要的文件共享。⑧ 提高安全運(yùn)維人員職業(yè)素養(yǎng)����,定期進(jìn)行木馬病毒查殺。
