分析Globeimposter-Alpha666qqz、Alpha865qqz勒索病毒文件恢复

.Globeimposter-Alpha865qqz
.Globeimposter-Alpha666qqz
.Globeimposter-Gamma666qqz
.Globeimposter-Beta666qqz
.Globeimposter-Zeta666qqz算法

以上常见的勒索病毒文件,都属于GlobeImposter(十二主神/十二生肖)系列勒索病毒加密软件加密文件。数据库

865qqz ,由于加密100%完整,没法技术修,只能解密恢复处理。(具体处理后面介绍)windows

666qqz,属于隔断加密规则,能够技术修复,具体得分析加密状况。(具体处理后面介绍)浏览器

病毒感染途径
1. 网络钓鱼电子邮件:单击嵌入在电子邮件中的连接,该连接将重定向到恶意网页。
2. 电子邮件附件:打开电子邮件附件并启用恶意宏;或下载嵌入了远程访问木_马(RAT)的文档;或下载包含恶意JavaScript或Windows脚本宿主(WSH)文件的ZIP文件。
3. 社交媒体:单击社交媒体帖子,即时通信聊天等上的恶意连接。
4. 恶意广告:单击带有恶意代码的合法广告网站。
5. 感染程序:安装包含恶意代码的应用程序或程序。
6. 偷渡感染:访问不安全,可疑或伪造的网页;或打开或关闭弹出窗口。注意:若是将恶意JavaScript代码注入网页内容中,则可能会破坏合法网页。
7. 重定向系统(TDS):单击合法网关网页上的连接,该连接会根据用户的地理位置,浏览器,操做系统或其余过滤器将用户重定向到恶意站点。
8. 自我传播:经过网络和USB驱动器将恶意代码传播到其余设备。
9. 系统漏洞:经过系统漏洞进入windows安全

10.其实最多见的是,远程桌面协议rdp破解,即暴力破解用户密码,若是你使用的administrator那就只须要破解密码,因此要特别注意。网络

《加密文件,处理方案,有两个ide

方案 1 :只针对Sql Server或Oracle数据库文件进行修复,修复率在90%-99%。
【条件】需有“未加密或加密”的历史备份库文件;
【缺点】修复后会有数据丢失(具体看加密状况);
【优势】工期短,费用相对较低;工具

方案一手段:根据数据库文件的结构特征,能够经过技术提取未加密的内容进行重组修复,市面上不少都是利用修库工具处理,因此修复率偏低。修库有丰富经验的人,会经过人工提取别的素材,例如库备份,镜像等,作得更精细,从这边的案例看不少时候能达到100%修复。post

方案 2 :解密恢复数据库和其余文件,文件内容恢复100%。
【条件】被加密的文件,未改动,未工具处理;
【缺点】费用和工期须要评估样本后才能肯定;
【优势】恢复率高;网站

方案二手段:100%解密恢复电脑中全部的文件,按照技术推论能够进行算法暴力破解,可是破解的时间须要很长,几乎没有人会愿意等待那么久的时间,因此最稳妥的方案就是经过样本评估得到秘钥来批量解密恢复处理。

至于经过哪一种方案处理更好,不一样的感染环境和需求会有更合适的处理回复方案技术v服务号shuju187提醒你们:电脑中了病毒,第一时间是断网(拔网线)或关机,来保护数据;不少人以为文件被加密的无所谓了,可是每每会出现更多意外,致使文件没法恢复,或者代价更高,这种案例数不胜数;还有不要尝试去改文件的病毒名称,来还原文件,这是没用的,病毒已经经过算法加密了文件内容,没法正常打开的。并且这种行为还会带来二次加密的风险;若是文件不重要,能够格式化重装系统。

相关文章
相关标签/搜索