今天接到一个案例 同胞客户 数据库中了勒索病毒, 数据库有48G大小 被加密的扩展名为 .eight勒索病毒。 经过分析加密不严重,经过修复处理恢复了99.9%的数据,
修复后的数据库可以直接被ERP使用。 经过检测 如下图 完整度不错,所以恢复质量会很好。
下面介绍这种勒索病毒
是Phobos勒索软件系列的一部分 。它会加密文件,更改文件名,创建赎金消息并在弹出窗口中显示另一个消息。八个通过添加受害者的ID和use_harrd@protonmail.com电子邮件地址,并在文件名后附加“ .eight ”扩展名来重命名加密文件。例如,它将名为“ 1.jpg ”的文件重命名为“ 1.jpg.id [1E857D00-2776]。[use_harrd@protonmail.com] .eight ”,依此类推。它在文本文件(“ .info.txt ”)中创建勒索消息,并在弹出窗口(“ info.hta ”)中显示另一个。
“ .info.txt”文本文件包含两个电子邮件地址(se_harrd@protonmail.com和useHHard@cock.li),可用于联系Aug的开发人员。弹出窗口指出解密工具的成本取决于联系它们的速度。在付款之前,受害者被允许将最多五个文件发送给Three的开发人员,他们免费提供解密文件。提到这些文件不应包含有价值的信息。还警告受害者不要重命名加密文件或尝试使用其他软件解密它们,因为这可能会导致永久性数据丢失或增加解密成本。不幸的是,没有其他工具能够解密受到八种勒索软件破坏的文件。因此,只有开发人员才能使用正确的工具。尽管如此,不要相信网络犯罪分子(支付任何赎金),因为您极有可能被骗。受害者即使付款后也经常不获得解密工具。在这种情况下,免费恢复文件的唯一方法是从备份中还原文件。请注意,删除勒索软件会阻止进一步的加密,但是,即使删除后,已经加密的文件仍然无法访问。
鼓励用户支付赎金以解密其泄露数据的消息的屏幕截图:
有许多程序被归类为勒索软件。Teslarvng,CoronaVi2022和MDEN就是其中的一些例子。通常,该软件会锁定(加密)文件,并使文件无法访问,无法使用,除非受害者使用可以从勒索软件开发人员处购买的特定工具/密钥对其进行解密。常见变量包括解密成本和加密算法(对称或非对称)。)勒索软件用于加密文件。如果没有勒索软件包含错误/缺陷或未完成,通常如果没有仅由网络犯罪分子拥有的工具就无法解密文件。在大多数情况下,避免由勒索软件引起的数据和财务损失的唯一方法是从备份中还原文件。因此,所有数据都应备份在远程服务器或未插入的存储设备上。
勒索软件如何感染我的计算机?
大多数网络罪犯使用以下方法之一扩散勒索软件和其他恶意程序:垃圾邮件活动/电子邮件,特洛伊木马,不可信的软件下载渠道,软件“破解”工具和伪造的更新程序。恶意软件通常通过发送带有恶意附件(或下载恶意文件的Web链接)的电子邮件来传播。通常,网络罪犯会附加Microsoft Office文档,存档文件(ZIP,RAR),可执行文件(.exe),PDF文档或JavaScript文件。当它们打开/执行时,它们会感染恶意软件。木马是恶意程序,仅当计算机上已经安装了恶意程序时,它们才会造成损坏。安装后,它们会打开“后门”供其他此类程序渗透。木马通常以这种方式引起链条感染。可疑软件下载渠道的示例包括免费文件托管,免费软件下载网站,对等网络(例如torrent客户端,eMule),非官方页面,第三方安装程序等。网络罪犯经常使用这些文件托管恶意文件。打开通过此类资源下载的文件的用户可能会导致安装恶意软件。软件“破解” /非官方激活工具据说可以免费激活许可的软件(绕过付费激活),但是,它们经常安装恶意软件,并且不激活任何软件。伪造的软件更新程序通常会通过利用操作系统上安装的过时软件的漏洞或通过安装恶意软件而不是更新和修复程序来造成损害。eMule),非官方页面,第三方安装程序等。网络罪犯经常使用这些文件来托管恶意文件。打开通过此类资源下载的文件的用户可能会导致安装恶意软件。软件“破解” /非官方激活工具据说可以免费激活许可的软件(绕过付费激活),但是,它们经常安装恶意软件,并且不激活任何软件。伪造的软件更新程序通常会通过利用操作系统上安装的过时软件的漏洞或通过安装恶意软件而不是更新和修复程序来造成损害。eMule),非官方页面,第三方安装程序等。网络罪犯经常使用这些文件来托管恶意文件。打开通过此类资源下载的文件的用户可能会导致安装恶意软件。软件“破解” /非官方激活工具据说可以免费激活许可的软件(绕过付费激活),但是,它们经常安装恶意软件,并且不激活任何软件。伪造的软件更新程序通常会通过利用操作系统上安装的过时软件的漏洞或通过安装恶意软件而不是更新和修复程序来造成损害。/非正式激活工具据说可以免费激活许可的软件(绕过付费激活),但是,它们通常会安装恶意软件,并且不会激活任何软件。伪造的软件更新程序通常会通过利用操作系统上安装的过时软件的漏洞或通过安装恶意软件而不是更新和修复程序来造成损害。/非正式激活工具据说可以免费激活许可的软件(绕过付费激活),但是,它们通常会安装恶意软件,并且不会激活任何软件。伪造的软件更新程序通常会通过利用操作系统上安装的过时软件的漏洞或通过安装恶意软件而不是更新和修复程序来造成损害。
| 病毒类型 | 勒索病毒 加密文件勒索钱财 | |
| 扩展名 | .eight | |
| 留下的信息文本 | info.txt, info.hta | |
| 邮件地址 | use_harrd@protonmail.com, 100returnguarantee@keemail.me, useHHard@cock.li, nopain555@protonmail.com, foxbox@airmail.cc, vivanger123@tutanota.com, ICQ@VIRTUALHORSE, 2020x0@protonmail.com, bondy.weinholt@aol.com, fidelako@int.pl, shelfit@airmail.cc, bertylarwayorstoner@jabb.im, ICQ@HONESTHORSE, robertwels@airmail.cc, sorysorysory@cock.li, helprecoveryfiles@cock.li, ezequielanthon@aol.com, xsupportx@countermail.com, messi_tr_2020@protonmail.com, mccreight.ellery@tutanota.com, verious1@cock.li, willi.stroud@aol.com, foxbox@xmpp.cz, hershel_houghton@aol.com, jewkeswilmer@aol.com, patiscaje@airmail.cc, decryptfilesonlinebuy@pm.me, ICQ@Horseleader, Bk_Data@protonmail.com, Petya20@tuta.io, SupportC4@elude.in, decrypt2021@elude.in, wang_team888@aol.com, barnabas_simpson@aol.com, emerson.parkerdd@aol.com, brandon_draven@protonmail.com, erich_northman@protonmail.com, lyontrevor@aol.com, mccandlessronald@aol.com, AaronKennedy74@cock.li, bhattarwarmajuthani@420blaze.it, brokenbrow.teodorico@aol.com, cornellmclearey@aol.com, ximenezpickup@aol.com, verilerimialmakistiyorum@mail.ru, sookie.stackhouse@gmx.com, dupuisangus@aol.com, s.boultons@aol.com, blair_lockyer@aol.com, murryu@aol.com, chocolate_muffin@tutanota.com, frankfbagnale@gmail.com, frankfbagnale@cock.li, victorlustig@gmx.com, elfbash@protonmil.com, alexei.v@aol.com, eppinger.adams@aol.com, martinwilhelm1978@cock.li, fredmoneco@tutanota.com, andreashart1834@cock.li, recoveryufiles@tutamail.com, cheston_windham@aol.com, augusto.ruby@aol.com, coxbarthel@aol.com, tsai.shen@mailfence.com, frankmoffit@aol.com, benwell_jonathan@aol.com, onlybtcp@tutanota.com, herbivorous@keemail.me, bernard.bunyan@aol.com, dillon.dabzac@aol.com, sofiabecker21@cock.li, dalgliesh.aaron@aol.com, cullan_cash@aol.com, decode@criptext.com, howtodecrypt2@cock.li, serhio.vale@tutanota.com, totalsupportcom@cock.lim, aa1b2c3cc@protonmail.com, 131845@cock.li, paynotanotherway@tutanota.com, kalimenok@gmx.com, clausmeyer070@cock.li, angus_frankland@aol.com, johannesjokinen1977@gmx.com, liamwake714@tutanota.com, matheuscosta0194@gmx.com, liamwake714@tutanota.com, tsai.shen@xmpp.jp (Jabber), vickre me (Wickr), @phobos_support (Telegram) | |
| 杀毒软件报毒名称 | Avast (Win32:Malware-gen), BitDefender (Gen:Variant.Ulise.99735), ESET-NOD32 (A Variant Of Win32/Filecoder.Phobos.C), Kaspersky (HEUR:Trojan.Win32.Generic), Full List Of Detections (VirusTotal) | |
| 症状 | 所有文件扩展名被添加.eight | |
| 如何中毒 | 邮件附件含宏病毒 bt种子站 破解补丁 远程桌面等等 | |
| 危害程度 |
|
勒索软件弹出窗口(“ info.hta ”)中显示的文本:
您的所有文件都已加密!
由于PC的安全性问题,所有文件均已加密。如果要还原它们,请给我们发送电子邮件到use_harrd@protonmail.com
。在您的邮件标题中写这个ID 1E857D00-2776
如果在24小时内无人接听,请给我们写这个电子邮件:useHHard @ cock .li
您必须支付使用比特币进行解密的费用。价格取决于您给我们写信的速度。付款后,我们将向您发送解密所有文件的工具。
免费解密作为保证
在付款之前,您最多可以向我们发送5个文件进行免费解密。文件的总大小必须小于4Mb(未归档),并且文件不应包含有价值的信息。(数据库,备份,大型Excel工作表等)
如何获取比特币
购买比特币最简单的方法是LocalBitcoins网站。您必须注册,单击“购买比特币”,然后按付款方式和价格选择卖方。
https://localbitcoins.com/buy_bitcoins
另外,您还可以在这里找到其他购买比特币的地方和初学者指南:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意!
不要重命名加密文件。
请勿尝试使用第三方软件解密数据,否则可能会导致永久性数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨(它们会增加我们的费用),或者您可能成为骗局的受害者。
