最近出现大规模感染的.eking后缀勒索病毒如何应对？

 

最近出现多家公司找我咨询，他们所在公司的服务器都感染了.eking后缀勒索病毒，中毒后，服务器上的全部文件都被加密锁定，没办法正常打开使用，并且文件名也被篡改为.eking后缀，致使公司业务没法正常开展，影响较大。经与他们紧密沟通及进行文件检测，根据检测的结果，我向他们提供了相应的解决方案建议，已有公司按照解决方案的建议顺利完成了文件数据的恢复工做。

对于这个.eking后缀勒索病毒到底是什么来头？是经过什么方式传播感染的？如何预防和中毒后如何救援？让咱们来一块儿进行了解。

 

什么是.eking后缀勒索病毒？

.eking后缀后缀勒索病毒是一种恶意的文件加密病毒，已于2020年5月17日在表面上被发现。攻击开始缓慢，但此后影响了全球愈来愈多的用户。根据研究人员，该病毒是经过与Adobe Acrobat Crack捆绑在一块儿的洪流网站进行分发的，该网站很是流行，而且使病毒易于传播。一旦启动了恶意有效负载，.eking后缀就开始攻击的第一阶段，即注入恶意.exe进程并得到对系统的管理特权。第二阶段与文件加密有关。为了锁定受害者的文件，该勒索病毒背后的犯罪分子使用AES加密和ID。[decphob@tuta.io] .eking后缀附录。 

.eking后缀勒索病毒病毒从起源上是臭名昭著的Phobos勒索病毒家族，该家族拥有20多个成员，包括Mamba，Phoenix和ISO勒索病毒。就像前辈同样，它模仿了Dharma家族臭名昭著的文件加密病毒。它对赎金票据使用相同的样式，并在逐字上提供相同的指示。目前，.eking后缀病毒在每一个包含锁定文件的文件夹中建立一个弹出窗口info.hta或文本文件info.txt。该文件包含两个用于联系人的电子邮件：decphob@tuta.io和decphob@protonmail.com。可是，既不建议联系罪犯也不要支付赎金。  

名称	.eking后缀
所属家族	该病毒属于Phobos勒索病毒家族
分类	勒索病毒/文件加密病毒
加密方式	根据Phobos家族的历史，据信.eking后缀正在使用AES密码对受感染机器上的文件进行加密
文件后缀名	勒索病毒使用.eking后缀后缀锁定的文件。 包含不只限于如下后缀版本 [holylolly@airmail.cc] .eking后缀 “，”。[digistart@protonmail.com] .eking后缀 “，” 。[greed_001@aol.com] .eking后缀 “，” 。[helpmedecoding@airmail.cc] .eking后缀 “，” 。[Black_Wayne@protonmail.com] .eking后缀 “ ，“ 。[Decryptdatafiles@protonmail.com] .eking后缀 ”，“ 。[supp0rt@cock.li] .eking后缀 ”，“ 。[quickrecovery05@firemail.cc] .eking后缀 ”，“ 。[tsec3x777@protonmail.com]。芯吸 “ ”[DECRYPTUNKNOWN@Protonmail.com] .eking后缀 “， ”[gluttony_001@aol.com] .eking后缀 “， ”[recoryfile@tutanota.com] .eking后缀 “，” 。[ICQ @ fartwetsquirrel]。芯吸 “” 。[jerjis@tuta.io]。.eking后缀 ”，“ [holylolly@airmail.cc] .eking后缀 ”，“[pride_001@aol.com] .eking后缀 “，” [kabura@firemail.cc] .eking后缀 “，” [r4ns0m@tutanota.com] .eking后缀 “，” [contactjoke@cock.li] .eking后缀 “，” [moon4x4 @ tutanota.com] .eking后缀 “，” [hublle@protonmail.com] .eking后缀 “和” 。[eight20@protonmail.com] .eking后缀
传播方式	目前，该病毒是经过与Adobe Acrobat Crack捆绑在一块儿的Torrent网站最活跃地传播的。可是，勒索病毒管理者还能够利用开放的RDP或经过恶意垃圾邮件附件传播有效载荷
消除	从系统中删除勒索病毒的惟一可能性是使用专业的AV引擎进行完全扫描
文件解密	不幸的是，没有官方的.eking后缀解密器。

 

.eking后缀文件扩展名病毒已被检测为最新的Phobos勒索病毒家族变体。据找我求助的人说，他下载了某些软件，这是Adobe Acrobat专门破解工具，不久以后，该文件（例如照片，视频，文档等）被锁定。

 

不幸的是，目前尚未其余工具能够解密由.eking后缀勒索病毒加密的文件。换句话说，只有.eking后缀的开发人员才拥有正确的解密工具。虽然，大多数勒索病毒开发人员的问题在于，即便付款后，他们也常常不发送解密工具和/或密钥。简单地说，信任网络犯罪分子并向他们支付赎金的受害者每每被骗。

 

.eking后缀勒索病毒是如何感染个人计算机？

网络罪犯用于传播勒索病毒和其余恶意软件的最多见方法是使用垃圾邮件活动，假冒软件更新程序，不可靠的下载渠道，非官方的软件激活工具和特洛伊木马。当他们使用垃圾邮件活动时，他们会发送包含恶意附件或网站的电子邮件，以及旨在下载恶意文件的连接。不管哪一种方式，其主要目的都是欺骗收件人打开（执行）旨在安装恶意软件的恶意文件。在大多数状况下，附加在电子邮件中的恶意文件包括Microsoft Office文档，存档文件（如ZIP，RAR），PDF文档，JavaScript文件和可执行文件（如.exe）。传播恶意软件的另外一种流行方法是经过伪造的软件更新程序。一般，非官方的第三方更新工具不会更新，修复任何已安装的软件。他们只是利用漏洞，某些过期软件的缺陷来安装恶意软件或感染系统。此外，不可靠的软件下载渠道也可用于分发恶意软件。常常经过对等网络（如torrent客户端，eMule，各类免费文件托管，免费软件下载网站和其余相似渠道）下载文件的用户下载恶意文件。这些文件在执行时会感染恶意软件。值得一提的是，此类文件常常被假装成合法，常规的文件。软件“破解”工具是用户寻求免费激活付费软件时使用的程序。可是，它们没有激活它，而是容许那些工具安装勒索病毒类型的恶意软件和其余恶意软件。木马程序，若是已安装，旨在传播各类恶意软件。简而言之，若是已经安装了这种类型的恶意程序，则颇有可能会形成其余损害。

 

如何保护本身免受.eking后缀勒索病毒感染？

不该该打开不相关电子邮件中的连接和附件，尤为是若是它们是从未知的可疑地址收到的。在打开其内容以前，应始终仔细分析此类电子邮件。只能从官方网站或经过直接连接下载软件。上面提到的非官方页面，第三方下载器（和安装程序）以及其余渠道，来源均不可信。此外，正确更新和激活软件也很重要。更确切地说，应该使用官方软件开发人员提供的设计实现的功能（或工具）来完成此操做。全部其余工具一般都用于分发恶意软件，此外，使用非官方的第三方工具激活许可软件是非法的。最后，应使用信誉良好的防病毒或反间谍软件按期扫描计算机，该软件应始终是最新的。

 

中了. eking后缀文件后缀的Phobos勒索病毒文件怎么恢复？

此类勒索病毒属于：Phobos家族 ，目前暂时不支持解密.

1.若是文件不急需，能够先备份等黑客被抓或良心发现，自行发布解密工具

2.若是文件急需，能够添加个人服务号（shujuxf），发送文件样本给我进行免费咨询数据恢复方案，或者寻求其它第三方解密服务。

 

预防勒索病毒-平常防御建议：

预防远比救援重要，因此为了不出现此类事件，强烈建议你们平常作好如下防御措施：

1．多台机器，不要使用相同的帐号和口令，以避免出现“一台沦陷，全网瘫痪”的惨状；

2．登陆口令要有足够的长度和复杂性，并按期更换登陆口令；

3．严格控制共享文件夹权限，在须要共享数据的部分，尽量的多采起云协做的方式。

4．及时修补系统漏洞，同时不要忽略各类经常使用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料必定要按期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提升安全意识，不随意点击陌生连接、来源不明的邮件附件、陌生人经过即时通信软件发送的文件，在点击或运行前进行安全扫描，尽可能从安全可信的渠道下载和安装软件；

8．安装专业的安全防御软件并确保安全监控正常开启并运行，及时对安全软件进行更新。