all4444/Dragon4444勒索病毒解密成功北京/上海杭州南京廣州/深圳/西安勒索病毒解密
復旦解密公司,接到杭州某設計單位信息主任的電話,局域網中有12臺服務器出現問題,全部有用的文件和數據庫被增加all4444的後綴全部不能正常使用,根據安全公司的認定是中了勒索病毒,得知我們復旦解密可以處理這個問題直接給我們打電話來咨詢。
我們派出了距離該公司最近的杭州辦事處的工程師前往分析問題。
復旦解密現場勘查報告:
中毒臺數14臺,兩臺備份機器 丟棄 只處理12臺
其中文件服務器2臺,數據量20T
應用數據庫6臺,數據1.4T 數據庫有orcle和sql
應用服務器6臺,數據426G
財務服務器2臺金蝶erp1臺
處理時間 6個小時成功率99%付款方式對公 簽訂合同
復旦解密描述病毒特征:
復旦解密成功破解最近一段時間,.COMBO和Dragon4444勒索病毒橫行霸道, 每天被加密勒索的企業太多了。
.COMBO 跟以前的.BIP .JAVA 等加密方法類似 都是加密數據庫0-32個塊(每塊按8192字節計算) 對於這種加密 一般
恢復數據庫數據大部分可以無損;
至於最近出來的 .XX4444加密 跟前面的ALCO加密一個方式 都是從0塊開始加密 每隔8192字節加密下一個塊,一般加密到319塊 共加密160個塊。
另外尾部是向前同樣方案加密160個塊。 這種可以參考同樣的結構庫 或者好的備份 來恢復數據, 會有損 但總體效果可以.
還有 最近遇到 .NOBAD 擴展名加密,是個狠角色,有的數據庫文件被加密前4096個塊,。有的被加密前面2048個塊。 如果沒有好的結構庫或者老備份 那麽恢復會比較難辦.
難辦歸難辦 如果不想聯系×××,我們還是可以恢復需要的數據.
oralce mssql mysql mongodb postgresql 等等數據庫文件或者備份都可以通過恢復手段恢復數據,無需聯系×××
近日,復旦解密發現Globelmposter勒索病毒已經更新到3.0變種,受影響的系統,數據庫文件被加密破壞,病毒將加密後的文件重命名為.Ox4444擴展名,並要求用戶通過郵件溝通贖金跟解密密鑰等。目前國內多家大型醫院中招,呈現爆發趨勢。深信服緊急預警,提醒廣大用戶做好安全防護,警惕Globelmposter 勒索。
病毒名稱:Globelmposter3.0 變種
病毒性質:勒索病毒
影響範圍:已有多家醫院中招,呈現爆發趨勢
危害等級:高危
病毒分析
病毒描述
Globelmposter 勒索病毒今年的安全威脅熱度一直居高不下。早在今年2月全國各大醫院已經爆發過Globelmposter2.0勒索病毒×××,×××手法極其豐富,可以通過社會工程,RDP爆破,惡意程序捆綁等方式進行傳播,其加密的後綴名也不斷變化,有:.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0變種後綴為.Ox4444。
這次爆發的樣本為Globelmposter3.0家族的變種,其加密文件使用Ox4444擴展名,由於Globelmposter采用RSA+AES算法加密,目前該勒索樣本加密的文件暫無解密工具,文件被加密後會被加上Ox4444後綴。在被加密的目錄下會生成一個名為”HOW_TO_BACK_FILES”的txt文件,顯示受害者的個人ID序列號以及×××的聯系方式等。
復旦解密提示病毒本體為一個win32 exe程序,病毒運行後會將病毒本體復制到%LOCALAPPDATA%或%APPDATA%目錄,刪除原文件並設置自啟動項實現開機自啟動,註冊表項為
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。
加密勒索
加密對象:可移動磁盤,固定磁盤,網絡磁盤三種類型的磁盤。
病毒防禦
勒索病毒解密領軍企業 復旦解密提示大家
1、及時給電腦打補丁,修復漏洞。
2、對重要的數據文件定期進行非本地備份。
3、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
4、Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議),如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!
5、復旦服防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能並啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防禦。
最後,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護
咨詢與服務
您可以通過以下方式聯系我們,獲取關於Globelmposter的免費咨詢及支持服務:
1)撥打電話151-691-21444(已開通勒索軟件專線)
all4444/Dragon4444勒索病毒解密成功北京/上海杭州南京廣州/深圳/西安勒索病毒解密