企业安全|最近出现大规模感染的.eking后缀勒索病毒,该如何处理()

最近出现多家公司找我咨询,他们所在公司的服务器都感染了.eking后缀勒索病毒,中毒后,服务器上的所有文件都被加密锁定,没办法正常打开使用,而且文件名也被篡改成.eking后缀,导致公司业务无法正常开展,影响较大。经与他们紧密沟通及进行文件检测,根据检测的结果,我向他们提供了相应的解决方案建议,已有公司按照解决方案的建议顺利完成了文件数据的恢复工作。
对于这个.eking后缀勒索病毒究竟是什么来头?是通过什么方式传播感染的?如何预防和中毒后如何救援?让我们来一起进行了解。

什么是.eking后缀勒索病毒?
.eking后缀后缀勒索病毒是一种恶意的文件加密病毒,已于2020年5月17日在表面上被发现。攻击开始缓慢,但此后影响了全球越来越多的用户。根据研究人员,该病毒是通过与Adobe Acrobat Crack捆绑在一起的洪流网站进行分发的,该网站非常流行,并且使病毒易于传播。一旦启动了恶意有效负载,.eking后缀就开始攻击的第一阶段,即注入恶意.exe进程并获得对系统的管理特权。第二阶段与文件加密有关。为了锁定受害者的文件,该勒索病毒背后的犯罪分子使用AES加密和ID。[decphob@tuta.io] .eking后缀附录。
.eking后缀勒索病毒病毒从起源上是臭名昭著的Phobos勒索病毒家族,该家族拥有20多个成员,包括Mamba,Phoenix和ISO勒索病毒。就像前辈一样,它模仿了Dharma家族臭名昭著的文件加密病毒。它对赎金票据使用相同的样式,并在逐字上提供相同的指示。目前,.eking后缀病毒在每个包含锁定文件的文件夹中创建一个弹出窗口info.hta或文本文件info.txt。该文件包含两个用于联系人的电子邮件:decphob@tuta.io和decphob@protonmail.com。但是,既不建议联系罪犯也不要支付赎金。

名称
.eking后缀
所属家族
该病毒属于Phobos勒索病毒家族
【企业安全|最近出现大规模感染的.eking后缀勒索病毒,该如何处理()】分类
勒索病毒/文件加密病毒
加密方式
根据Phobos家族的历史,据信.eking后缀正在使用AES密码对受感染机器上的文件进行加密
文件后缀名
勒索病毒使用.eking后缀后缀锁定的文件。
包含不仅限于以下后缀版本
[holylolly@airmail.cc] .eking后缀 “,”。[digistart@protonmail.com] .eking后缀 “,” 。[greed_001@aol.com] .eking后缀 “,” 。[helpmedecoding@airmail.cc] .eking后缀 “,” 。[Black_Wayne@protonmail.com] .eking后缀 “ ,“ 。[Decryptdatafiles@protonmail.com] .eking后缀 ”,“ 。[supp0rt@cock.li] .eking后缀 ”,“ 。[quickrecovery05@firemail.cc] .eking后缀 ”,“ 。[tsec3x777@protonmail.com]。芯吸 “ ”[DECRYPTUNKNOWN@Protonmail.com] .eking后缀 “, ”[gluttony_001@aol.com] .eking后缀 “, ”[recoryfile@tutanota.com] .eking后缀 “,” 。[ICQ @ fartwetsquirrel]。芯吸 “” 。[jerjis@tuta.io]。.eking后缀 ”,“ [holylolly@airmail.cc] .eking后缀 ”,“[pride_001@aol.com] .eking后缀 “,” [kabura@firemail.cc] .eking后缀 “,” [r4ns0m@tutanota.com] .eking后缀 “,” [contactjoke@cock.li] .eking后缀 “,” [moon4x4 @ tutanota.com] .eking后缀 “,” [hublle@protonmail.com] .eking后缀 “和” 。[eight20@protonmail.com] .eking后缀
传播方式
目前,该病毒是通过与Adobe Acrobat Crack捆绑在一起的Torrent网站最活跃地传播的。但是,勒索病毒管理者还可以利用开放的RDP或通过恶意垃圾邮件附件传播有效载荷
消除
从系统中删除勒索病毒的唯一可能性是使用专业的AV引擎进行彻底扫描
文件解密
不幸的是,没有官方的.eking后缀解密器。

.eking后缀文件扩展名病毒已被检测为最新的Phobos勒索病毒家族变体。据找我求助的人说,他下载了某些软件,这是Adobe Acrobat专门破解工具,不久之后,该文件(例如照片,视频,文档等)被锁定。

不幸的是,目前还没有其他工具可以解密由.eking后缀勒索病毒加密的文件。换句话说,只有.eking后缀的开发人员才拥有正确的解密工具。虽然,大多数勒索病毒开发人员的问题在于,即使付款后,他们也经常不发送解密工具和/或密钥。简单地说,信任网络犯罪分子并向他们支付赎金的受害者往往被骗。

.eking后缀勒索病毒是如何感染我的计算机?
网络罪犯用于传播勒索病毒和其他恶意软件的最常见方法是使用垃圾邮件活动,假冒软件更新程序,不可靠的下载渠道,非官方的软件激活工具和特洛伊木马。当他们使用垃圾邮件活动时,他们会发送包含恶意附件或网站的电子邮件,以及旨在下载恶意文件的链接。无论哪种方式,其主要目的都是欺骗收件人打开(执行)旨在安装恶意软件的恶意文件。在大多数情况下,附加在电子邮件中的恶意文件包括Microsoft Office文档,存档文件(如ZIP,RAR),PDF文档,JavaScript文件和可执行文件(如.exe)。传播恶意软件的另一种流行方法是通过伪造的软件更新程序。通常,非官方的第三方更新工具不会更新,修复任何已安装的软件。他们只是利用漏洞,某些过时软件的缺陷来安装恶意软件或感染系统。此外,不可靠的软件下载渠道也可用于分发恶意软件。经常通过对等网络(如torrent客户端,eMule,各种免费文件托管,免费软件下载网站和其他类似渠道)下载文件的用户下载恶意文件。这些文件在执行时会感染恶意软件。值得一提的是,此类文件经常被伪装成合法,常规的文件。软件“破解”工具是用户寻求免费激活付费软件时使用的程序。但是,它们没有激活它,而是允许那些工具安装勒索病毒类型的恶意软件和其他恶意软件。木马程序,如果已安装,旨在传播各种恶意软件。简而言之,如果已经安装了这种类型的恶意程序,则很有可能会造成其他损害。

如何保护自己免受.eking后缀勒索病毒感染?
不应该打开不相关电子邮件中的链接和附件,尤其是如果它们是从未知的可疑地址收到的。在打开其内容之前,应始终仔细分析此类电子邮件。只能从官方网站或通过直接链接下载软件。上面提到的非官方页面,第三方下载器(和安装程序)以及其他渠道,来源均不可信。此外,正确更新和激活软件也很重要。更确切地说,应该使用官方软件开发人员提供的设计实现的功能(或工具)来完成此操作。所有其他工具通常都用于分发恶意软件,此外,使用非官方的第三方工具激活许可软件是非法的。最后,应使用信誉良好的防病毒或反间谍软件定期扫描计算机,该软件应始终是最新的。

中了. eking后缀文件后缀的Phobos勒索病毒文件怎么恢复?
此类勒索病毒属于:Phobos家族 ,目前暂时不支持解密.
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具
2.如果文件急需,可以添加我的服务号(shujuxf),发送文件样本给我进行免费咨询数据恢复方案,或者寻求其它第三方解密服务。
预防勒索病毒-日常防护建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。

    推荐阅读