all4444/Dragon4444勒索病毒解密成功北京/上海杭州南京广州/深圳/西安勒索病毒解密

勒索病毒解密专家中国复旦解密
复旦解密公司,接到杭州某设计单位信息主任的电话,局域网中有12台服务器出现问题,全部有用的文件和数据库被增加all4444的后缀全部不能正常使用,根据安全公司的认定是中了勒索病毒,得知我们复旦解密可以处理这个问题直接给我们打电话来咨询。

     我们派出了距离该公司最近的杭州办事处的工程师前往分析问题。

复旦解密现场勘查报告:
中毒台数14台,两台备份机器 丢弃 只处理12台
其中文件服务器2台,数据量20T
应用数据库6台,数据1.4T 数据库有orcle和sql
应用服务器6台,数据426G
财务服务器2台金蝶erp1台
处理时间 6个小时成功率99%付款方式对公 签订合同
现场图片:

复旦解密描述病毒特征:
复旦解密成功破解最近一段时间,.COMBO和Dragon4444勒索病毒横行霸道, 每天被加密勒索的企业太多了。

.COMBO 跟以前的.BIP .JAVA 等加密方法类似 都是加密数据库0-32个块(每块按8192字节计算) 对于这种加密 一般

恢复数据库数据大部分可以无损;

至于最近出来的 .XX4444加密 跟前面的ALCO加密一个方式 都是从0块开始加密 每隔8192字节加密下一个块,一般加密到319块 共加密160个块。

另外尾部是向前同样方案加密160个块。 这种可以参考同样的结构库 或者好的备份 来恢复数据, 会有损 但总体效果可以.

还有 最近遇到 .NOBAD 扩展名加密,是个狠角色,有的数据库文件被加密前4096个块,。有的被加密前面2048个块。 如果没有好的结构库或者老备份 那么恢复会比较难办.

难办归难办 如果不想联系×××,我们还是可以恢复需要的数据.

oralce mssql mysql mongodb postgresql 等等数据库文件或者备份都可以通过恢复手段恢复数据,无需联系×××

近日,复旦解密发现Globelmposter勒索病毒已经更新到3.0变种,受影响的系统,数据库文件被加密破坏,病毒将加密后的文件重命名为.Ox4444扩展名,并要求用户通过邮件沟通赎金跟解密密钥等。目前国内多家大型医院中招,呈现爆发趋势。深信服紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。

病毒名称:Globelmposter3.0 变种

病毒性质:勒索病毒

影响范围:已有多家医院中招,呈现爆发趋势

危害等级:高危

病毒分析

病毒描述

Globelmposter 勒索病毒今年的安全威胁热度一直居高不下。早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒×××,×××手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。

这次爆发的样本为Globelmposter3.0家族的变种,其加密文件使用Ox4444扩展名,由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及×××的联系方式等。

复旦解密提示病毒本体为一个win32 exe程序,病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录,删除原文件并设置自启动项实现开机自启动,注册表项为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。
加密勒索

加密对象:可移动磁盘,固定磁盘,网络磁盘三种类型的磁盘。

病毒防御

勒索病毒解密领军企业 复旦解密提示大家
1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

4、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

5、复旦服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护
咨询与服务

您可以通过以下方式联系我们,获取关于Globelmposter的免费咨询及支持服务:

1)拨打电话151-691-21444(已开通勒索软件专线)

原文地址:http://blog.51cto.com/13976122/2280962

时间: 2024-10-06 22:35:00

all4444/Dragon4444勒索病毒解密成功北京/上海杭州南京广州/深圳/西安勒索病毒解密的相关文章

.Rooster4444/ Dog4444 新后缀勒索病毒解密成功- 复旦解密

Rooster4444勒索病毒解密成功 Dog4444勒索病毒解密成功 Pig4444勒索病毒解密成功 勒索病毒可详细咨询..... 勒索病毒,是一种新型电脑病毒,主要以邮件.程序***.网页挂马的形式进行传播.该病毒性质恶劣.危害极大,一旦感染将给用户带来无法估量的损失.这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解.该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响. 勒索病毒文件一旦被用户点击打开,会利用连

snake4444/Rooster4444/Dog4444/Pig4444勒索病毒解密成功 完整解密

snake4444勒索病毒解密成功,dog4444后缀勒索病毒解密成功.pig4444勒索病毒解密成功.sql数据库文件被加密后,需要百分百解密成功,才能导出内容.此病毒主要×××开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密.病毒感染后的主要特征包括windows 服务器文件被加密.且加密文件的文件名后缀为:pig4444/dog4444/Ox4444/Tiger4444/Rabbit4444/Dragon4444/Snake4

后缀actin/satana勒索病毒解密成功 百分百恢复 how_to_back_files.htm

最近后缀是actin/satana勒索病毒持续高发,请大家注意防范!br/>上海某公司中了后缀是actin的勒索病毒,5台服务器全部中招,通过朋友找到我们后,成功处理.[[email protected]].actin[[email protected]].actin**事中防御和事后补救,远不及事前防御更让人来得心安.为了避免不必要的损失,建议您采取如下措施: (1)针对服务器,不仅要安装带主动防护的杀毒软件,还要部署安全加固软件,阻断******.(2)关闭445.135.139等不必要的端

dog4444勒索病毒解密成功SQL/Oracle数据库pig4444勒索病毒解密

北京天一解密是一家从事解密勒索病毒的专业机构,我们从业三年多来解决各种勒索病毒数百起,失败的案例几乎为0.我们服务过各种厂家.公司.集团,无一例外的是客户对我们的评价是百分百满意.从业这么长时间我们碰到的病毒后缀各种各样,比如:.bip .dbger .ARROW .ARENA .IQ .CC .crypted .BIG4+ .CRAB .SATAN .JAVA .VYA+ .MAKGR .PANDA . ALCO .CHAK .TRUE .SHUNK .GOTHAM .GRANNY .RESE

dog4444勒索病毒解密成功SQL/Oracle数据库天一解密pig4444

2北京某科技公司在上班后发现服务器的所有数据都打不开,并且每个文件后面多了一个dog4444的后缀,导致公司无法正常运作.幸运的是网管大哥通过贴吧找到我们天一解密,公司了解情况后立即派工程师赶往现场,终于在5小时后为客户成功解密了dog4444的勒索病毒.获得客户的强烈推荐!对抗勒索病毒,我们是专业的! 原文地址:http://blog.51cto.com/13970431/2175501

恢复phobos后缀勒索病毒 解密成功 sql恢复

**后缀phobos勒索病毒解密成功,百分百处理成功phobos后缀勒索病毒是adobe的升级版本,它的前面版本有adobe.gamma.combo.等这种勒索病毒涉及范围很广,危害大,请大家注意防范! 南京一个客户中了后缀是phobos的勒索病毒,中毒3台,所有sql文件被加密,经过我们的熬夜奋战,终于全部解密成功**. 为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1.不要打开陌生人或来历不明的邮件,防止通过邮件附件的***:2.尽量不要点击office宏运行提示,避免来自

解密后缀phobos勒索病毒 解密成功

解密后缀phobos勒索病毒 解密成功石家庄某企业中了后缀是phobos的勒索病毒,找到我们后 成功处理. 为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1.不要打开陌生人或来历不明的邮件,防止通过邮件附件的***:2.尽量不要点击office宏运行提示,避免来自office组件的病毒感染:3.需要的软件从正规(官网)途径下载,不要双击打开.js..vbs等后缀名文件:4.升级到最新的防病毒等安全特征库:5.升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本***:6.定期异

后缀.phobos勒索病毒解密成功恢复sql文件 数据恢复

后缀.phobos勒索病毒解密成功 恢复sql文件 数据恢复四川某公司中了后缀手机.phobos的勒索病毒,服务器里文件全部被加密,公司领导非常重视,命令网管尽快解决问题,挽回公司损失,网管再网上找到我们后,经过一天的处理,成功恢复所有中毒文件.为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1.不要打开陌生人或来历不明的邮件,防止通过邮件附件的:2.尽量不要点击office宏运行提示,避免来自office组件的病毒感染:3.需要的软件从正规(官网)途径下载,不要双击打开.js.

后缀phobos勒索病毒解密成功解密工具 方法百分百恢复成功

后缀phobos勒索病毒解密成功解密工具 方法百分百恢复成功目前可以成功解密的勒索病毒文件后缀有:phobos/ETH/MTP/MG/AOL/ADOBE/ITLOCK/X3MGandcrabV5..0.4/GandcrabV5.1/GandcrabV5.2/GandcrabV5.3后缀Phobos勒索病毒的分发PHOBOS勒索病毒是一种破坏性的加密病毒,最近在针对全球计算机用户的***活动中发布.威胁行为者可能正在利用广泛使用的分发策略来感染计算机系统. **PHOBOS勒索病毒背后的恶意行为者