最近火卫一勒索软件家族Eking勒索软件比较活跃。今天收到一个oracle数据库勒索加密的案例。由于DBF文件是完全加密的,它们可以从加密的DMP备份文件中恢复。能解决问题。
这里有一些关于病毒的信息。
Eking属于Phobos勒索软件家族。它对文件进行加密、重命名,并生成大量勒索信息。Eking通过添加受害者的ID、decphob @ tuta.io电子邮件地址并附加“.eking "扩展名的文件名。比如把1.jpg改名为1 . jpg . id[1e 857d 00-2275][decphob @ tuta . io]。eking和2.jpg到2.jpg.id [1E857D00-2275]。【decphob@tuta.io】。eking”等等。它在弹出窗口中显示勒索消息(“info.hta”),并在文本文件中创建另一个勒索消息(“info.txt”)。
info.hta和info.txt的勒索信息表明,受害者必须通过发送电子邮件到decphob@tuta.io或decphob@proton***il.com联系Eking的开发者,并等待进一步的指示。如果受害者在24小时内没有收到回复,他们被敦促通过提供的Tor网站链接联系网络罪犯。他们还提供多达五个文件的免费解密,可以在支付解密费之前发送给Eking的开发者。遗憾的是,没有其他工具可以解密被易建勒索病毒破坏的文件——只有易建的开发者拥有有效的解密工具。请注意,勒索软件开发者即使付款后也不会发送解密工具/密钥。因此,相信网络犯罪分子的受害者往往会上当受骗。一般来说,恢复对因勒索软件攻击而丢失的文件的访问的唯一方法是从备份中恢复。从操作系统中卸载Eking将阻止进一步加密。然而,即使清除了勒索软件,加密文件仍然无法访问。
鼓励用户支付赎金以解密其泄露数据的消息截图:
还有许多其他感染勒索软件的例子,包括Koti、ZoNiSoNaL和MR.ROBOT,该软件对数据进行加密,并提供如何联系设计数据、支付赎金和其他信息的网络犯罪分子的指令。共同的区别是勒索软件用来锁定(加密)文件的解密工具/密钥和加密算法(对称或非对称)的成本。大多数情况下,只有在勒索软件包含错误/缺陷且不完整的情况下,才能进行免费解密。可惜这种情况很少见。因此,将数据备份到远程服务器(如云)和/或未插入的存储设备非常重要。
勒索病毒是如何感染我的电脑的?
网络犯罪分子传播勒索软件和其他恶意软件最常用的一些方法是通过垃圾邮件活动、虚假软件更新、不可信的下载渠道、非官方软件激活工具和特洛伊木马。他们利用垃圾邮件活动发送包含恶意附件或链接的电子邮件,这些附件或链接指向旨在下载危险文件的网站。他们的主要目的是诱骗收件人打开(执行)恶意文件,然后安装恶意软件。这些文件通常是Microsoft Office文档、归档文件(ZIP、RAR)、PDF文档、JavaScript文件和可执行文件,如。exe。恶意软件也通过虚假的软件更新传播。通常,非官方的第三方更新工具不会更新/修复任何已安装的软件。他们只是利用过时软件的错误/缺陷安装恶意软件或感染系统。此外,不可信的软件下载渠道也会传播恶意软件。对等网络(如torrent客户端、eMule、免费文件托管网站、免费软件下载网站和其他类似渠道)通常会导致恶意文件的下载。执行后,这些文件会使计算机感染恶意软件。请注意,这些证件往往伪装成合***规的。试图激活***软件的付费软件来“破解”程序的人,却往往安装了勒索病毒类型和其他恶意软件。特洛伊木马可以在安装时传播恶意软件-如果这种类型的恶意软件已经安装,它可能会造成其他损害。免费软件下载网站和其他类似渠道通常会导致恶意文件的下载。执行后,这些文件会使计算机感染恶意软件。请注意,这些证件往往伪装成合***规的。试图激活***软件的付费软件来“破解”程序的人,却往往安装了勒索病毒类型和其他恶意软件。特洛伊木马可以在安装时传播恶意软件-如果这种类型的恶意软件已经安装,它可能会造成其他损害。免费软件下载网站和其他类似渠道通常会导致恶意文件的下载。执行后,这些文件会使计算机感染恶意软件。请注意,这些证件往往伪装成合***规的。试图激活***软件的付费软件来“破解”程序的人,却往往安装了勒索病毒类型和其他恶意软件。特洛伊木马可以在安装时传播恶意软件-如果这种类型的恶意软件已经安装,它可能会造成其他损害。这些程序被试图免费激活付费软件的人使用。但是,他们经常安装勒索病毒类型和其他恶意软件。特洛伊木马可以在安装时传播恶意软件-如果这种类型的恶意软件已经安装,它可能会造成其他损害。这些程序被试图免费激活付费软件的人使用。但是,他们经常安装勒索病毒类型和其他恶意软件。特洛伊木马可以在安装时传播恶意软件-如果这种类型的恶意软件已经安装,它可能会造成其他损害。
详细:
勒索病毒名称Eking病毒
勒索病毒类型,加密病毒,文件。
加密扩展。eking
赎金消息正文info.hta和info.txt
邮箱decphob @ tuta.io,,holyrolly @ air***il.cc,,,helpmedecoding@air***il.cc,,,,supp0rt @ cock.li,quickrecovery05@fire***il.cc,,,,gluttony_001@aol.com,recoryfile@tutanota.com,ICQ @ fartwetsquirrel,jerjis@tuta.io,holy rolly @ air***il . cc,pride_001 、itambuler@tutanota.com、dcrptfile@proton***il.com、filesdecrypt@aol.com、davidshelper@proton***il.com、reynoldmuren@tutanota.com、dacowe@fire***il.cc、dozusopo@tutanota.com、subik099@tutanota.com、subik099@cock.li、trizvani@tutanota.com、trizvani @ tutanota . com、datashop@list.ru、wugenaxu@fire***il.cc、databack@air***il.cc、moonlight101@tutanota.com、moonlight10@***il.ee、fata52@cock.li、fata54@cock.li、phobos2 、dragon.save@aol.com、drgreen1@kee***il.me、drgreen2@proton***il.com、decryption24h@criptext.com、decryption 24h @ hedge . in、fastwind@***il.ee、fastwind2@proton***il.com、newera@ctemplar.com、newera@tfwno.gf、johnsonz@kee***il.me、johnsonz@cock.lu、pandora9@tuta.io、happy@gyt***il.com、ghosttm@zoho***il.com、falcon360@cock.li、tebook12@proton***il.com、rody_218@proton***il.com、erichhart***nn _ ***in @ proton ***il . com、erichhart***nn_reserve 、ezfilesdec@tutanota.com、filesdecrypt@aol.com、helpme2021@aol.com、fir***verileri@bk.ru、sacura889@tutanota.com、sacura889@proton***il.com、anticrypt2021@aol.com、james2020m@aol.com、james2020m@cock.li、jackkarter@gmx.com、jackkarter@cock.li、***ykeljakson@cock.li、***ykeljakson@criptext.com、basani400@aol.com、basani400@***ilfence.com、jonnylow@tech***il.info、jonnylow@kee***il.me、databankasi@bk.ru、crashonlycash @ GenericKD.33855769)、ESET-nod 32(MSIL/GenKryptik的变体。EKSC),卡巴斯基(
HEUR:特洛伊-PSW。MSIL.Agensla.gen),检测到的完整列表(virustotal)
进程战舰(其名称可能有所不同)
加密形式无法打开存储在您计算机上的文件,以前的功能文件现在具有不同的扩展名(例如,my.docx.locked)。你的桌面上会显示一条勒索信息。网络罪犯要求支付赎金(通常是比特币)来解锁你的文件。
受感染的电子邮件附件(宏)、种子网站、恶意广告。
本文来自柠萌先森ζ投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/635686.html