【数据恢复案例】.[decrypt20@firemail.cc].eking新型变种勒索病毒

已于 2022-04-15 23:27:05 修改
阅读量6.7k 收藏
点赞数 2
分类专栏: 数据恢复 勒索病毒数据恢复 勒索病毒 文章标签: 勒索病毒数据恢复 勒索病毒数据解密 勒索病毒科普 数据安全
于 2022-03-24 17:46:15 首次发布
本文链接:https://blog.csdn.net/tel17665780226/article/details/123715582
版权

目录

一、什么是 .[decrypt20@firemail.cc].eking 勒索病毒?

二、中了 .[decrypt20@firemail.cc].eking 后缀勒索病毒文件怎么恢复?

三、恢复案例介绍:

1. 被加密数据情况

2. 数据恢复完成情况

3. 数据恢复工期

系统安全防护措施建议:

一、什么是 .[decrypt20@firemail.cc].eking 勒索病毒?

        .[decrypt20@firemail.cc].eking 属于 Phobos 勒索病毒家族,已传播2,3年了。它加密文件、重命名文件并生成许多勒索消息。

        .[decrypt20@firemail.cc].eking 勒索软件以某种方式入侵进入计算机后,会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。

        .[decrypt20@firemail.cc].eking 勒索病毒将扫描您的计算机以查找图像、视频以及重要的生产力文档和文件,例如 .doc、.docx、.xls、.pdf。当检测到这些文件时,勒索软件会对它们进行加密并将其扩展名更改为“[XXXXXX].[decrypt20@firemail.cc].eking ”,这样您就无法再打开它们。

 .[decrypt20@firemail.cc].eking 勒索病毒是如何传播感染的?

经过分析多家公司感染勒索病毒后的机器环境及系统日志判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

    关闭远程桌面,或者修改默认用户administrator

共享设置

    检查是否只有共享出去的文件被加密。 

第三方账户  

    检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。 

软件漏洞

    根据系统环境,针对性进行排查,例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。

二、中了 .[decrypt20@firemail.cc].eking 后缀勒索病毒文件怎么恢复?

此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。

三、恢复案例介绍:

1. 被加密数据情况

一台服务器,被加密的文件数据量约370万个,数据量大约6T+,数据量比较庞大。

2. 数据恢复完成情况

        数据完成恢复,370万+个文件,全部文件均已恢复,恢复率等于100%。恢复完成的文件均可以正常打开及使用。

3. 数据恢复工期

恢复工期:

       一台服务器,我们团队在收到客户当天下单立即开始执行恢复施工,由于数据量比较庞大,最终于第四天上午完成了全部数据的恢复,耗时四天。

系统安全防护措施建议:

1.多台机器,不要使用相同的账号和口令

2.登录口令要有足够的长度和复杂性,并定期更换登录口令

3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4.定期检测系统和软件中的安全漏洞,及时打上补丁。

5.定期到服务器检查是否存在异常。

6.安装安全防护软件,并确保其正常运行。

7.从正规渠道下载安装软件。

8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。 

9.保存良好的备份习惯,尽量做到每日备份,异地备份。

经过我们整理发现,目前市面上的.eking病毒类型有上百种变种,与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的均可以恢复处理:

.[Chadmad@ctemplar.com].eking

.[helpmedecoding@airmail.cc].eking

.[Harpia2019@aol.com].eking

.[newera@ctemplar.com].eking

.[decrypt20@vpn.tg].eking

.[zhaolingdecrypt@firemail.cc].eking

.[surpaking@tutanota.com].eking

.[Dtramp@tuta.io].eking

.[magicbox@outlookpro.net].eking

.[mikolio@cock.li].eking

.[backupransomware@tutanota.com].eking

.[Recovery7070@aol.com].eking

.[chinadecrypt@msgsafe.io].eking

.[getmydata@bk.ru].eking

.[Basani400@aol.com].eking

.[ransom1999@tutanota.com].eking

.[JackKarter@gmx.com].eking

.[GhostTM@zohomail.com].eking

.[Harpia2019@aol.com].eking

.[Recovery.PC@aol.com].eking

.[958f895@tutanota.com].eking

.[James2020m@aol.com].eking

.[keydecryption@airmail.cc].eking

.[help2021me@aol.com].eking

.[curiosity_08@tutanota.com].eking

.[curiosity_08@tutanota.com].eking

[mrreturn@ctemplar.com].eking

.[Ransomwaree2020@cock.li].eking

.[sidor@airmail.cc].eking

.[decrypt20@firemail.cc].eking

.[webweb321@firemail.cc].eking

decphob@tuta.ioteempling86@tutanota.comzsebas@airmail.ccfiles.at.risk@tutanota.comcompanyblast@msgsafe.iotripotri@cock.liwebweb321@firemail.cc、mmmjjjtoptip@cock。李,dcryption@cock.lidcryption@mailfence.comhowrecover@snugmail.netcoronav19@tutanota.comcoronav2020@cock.lionejoshuasmith@aol.comqamrani@airmail.ccfriderique@tutanota.com, mmgy@tutanota.comcurity_08@tutanota.comcurity_08@protonmail.comgetmydata@bk.rudecrypt_ad1@protonmail.comkameric@airmail.ccdecphob@protonmail.comholylolly@airmail.cc、digistart@ protonmail.comgreed_001@aol.comhelpmedecoding@airmail.ccBlack_Wayne@protonmail.comDecryptdatafiles@protonmail.comsupp0rt@cock.liquickrecovery05@firemail.cctsec3x777@protonmail.com, DECRYPTUNKNOWN@Protonmail。 com, gluttony_001@aol.comrecoryfile@tutanota.com, ICQ@fartwetsquirrel,jerjis@tuta.ioholylolly@airmail.ccpride_001@aol.comkabura@firemail.ccr4ns0m@tutanota.comcontactjoke@cock.limoon4x4@tutanota.comhublle@protonmail.com、clearcom@ protonmail.comchinadecrypt@fasthelpassia.compaymantsystem@cock.liHubble77@tutanota.com, savemyself1@tutanota.comqirapoo@firemail.cc, yoursjollyroger@cock, raboly@firemail.ccEight20@protonmail.comdivevecufa@firemail.cccyvedira@firemail.ccfiledec@tutanota.comcrioso@protonmail.comeleezcry@tutanota.comHELPUNKNOWN@Tutanota.comdecrypt20@vpn.tgkubura@firemail.cc, rodrigos@ keemail.mechadmad@ctemplar.comchadmad@nuke.africadataencrypted@tutanota.comitambuler@protonmail.comitambuler@tutanota.comdcrptfile@protonmail.comfilesdecrypt@aol.com, davidshelper@protonmail。 com, reynoldmuren@tutanota.comdacowe@firemail.cc, dozusopo@tutanota.com,subik099@tutanota.comsubik099@cock.litrizvani@aol.comtrizvani@tutanota.comdatashop@list.ruwugenaxu@firemail.ccdataback@airmail.ccdataback@firemail.ccmoonlight101@tutanota.commoonlight10@mail.eefata52@cock.lifata54@cock.liphobos2020@cock.liphobos2020@tutanota.comxiaolinghelper@firemail.ccredsnow911@protonmail.comsurpaking@tutanota.comsurpakings@mail.eebtcunlock@airmail.ccbtcunlock@firemail.ccanticrypt2020@aol.comwiruxa@airmail.ccyongloun@tutanota.comanygrishevich@yandex.rualonesalem@keemail.mealonesalem@protonmail.comencrypted60@tutanota.comcifrado60@tutanota.comrantime@tuta.ioransomtime@cock.liopticodbestbad@aol.comopticodbestbad@mail.eeunlockdata@firemail.cconlyway@secmail.projobiden1942@protonmail.comjonneydep@protonmail.comforumsystem@cock.liforumsystem@techmail.info,sdx-2020@tutanota.comsdx-20200@protonmail.comencryption2020@aol.comgrootp2@protonmail.comnoobt56@protonmail.comdragon.save@aol.comdragon.save@yahoo.com、 Dragon.save@aol.comdrgreen1@keemail.medrgreen2@protonmail.comdecryption24h@criptext.comdecryption24h@elude.infastwind@mail.eefastwind2@protonmail.comnewera@ctemplar.com、 newera@tfwno.gfjohnsonz@keemail.mejohnsonz@cock.lupandora9@tuta.iohappy@gytmail.comghosttm@zohomail.comfalcon360@cock.litebook12@protonmail.com, rody_218 @ protonmail.comerichhartmann_main@protonmail.comerichhartmann_reserve@tuta.iofiles@restore.wscovidv19@tutanota.comdtramp@tuta.iolexus@gytmail.comdecrypt20@stealth.tg、decrypt20@firemail。抄送,dowendowxxx@privatemail.comransom1999@tutanota.comransom2000@tutanota.comhellook@gytmail.com1bmx1@tuta.io,ransomsophos @ tutanota。com, dr.cryptor@secmail.prodr.cryptor@protonmail.comlepuscrysupp@mail.eelepuscrysupp@cock.likeydecryption@airmail.cc5559912@firemail.ccinfoback@criptext.com, infoback@ mail.ee、datastore@outlookpro.netgetmydata@cock.liin0x2@tutanota.comin0x2@int.plransomwaree2020@cock.liransomwaree2021@cock.lighiedksjdh6hd@cock.li、sdjhf4df@potronmail。 com, harpia2019@aol.comharpia2019@mailfence.comunlockfile@firemail.ccunlockfile@criptext.comjennymombu@aol.comjennymombu@firemail.ccdecryption24h@mailfence.comezfilesdec@tutanota.comfilesdecrypt@aol.comhelpme2021@aol.comfirmaverileri@bk.rusacura889@tutanota.comsacura889@protonmail.comanticrypt2021@aol.comjames2020m@aol.comjames2020m@cock.li、jackkarter@ gmx.comjackkarter@cock.limaykeljakson@cock.limaykeljakson@criptext.com, basani400@aol.com,basani400@mailfence.comjonnylow@techmail.infojonnylow@keemail.medatabankasi@bk.rucrashonlycash@gmx.comgracia154@tuta.iogracia154@cock.lihelp4rec@tutanota.com, help4dec@ cock.li,coderunlocker@gmail.comcoderunlockerr@gmail.comhowrecover@tutanota.comrecover1@cock.limikolio@cock.limikolio@xmpp.jpsharm777@aol.com,sharm777@protonmail。 com,boomblack@tutanota.comboomblack@cock.lirecovery.pc@aol.comrecovery.pc@mailfence.comsafetynet@mail.eesafetynet@tfwno.gfunlocker@criptext.com,unlocker@ firemail.cc、backupransomware@tutanota.comtutik337@tuta.iotutik337@cock.lirottencurd@vivaldi.netrottencurd@mail.eecovidv19@cock.lirecoverman@tutanota.com、958f895@tutanota。 com,958f895@protonmail.commagicbox@outlookpro.net2magicbox@cock.lidr.help888@aol.comdecryptorr@cock.email,decryptorr@cock.lu,夫人。help888@protonmail.comjohnlo@techmail.infojohnlo@keemail.meransom199999@tutanota.comransom200000@tutanota.comreopening1999@tutanota.comransom19999@tutanota.compablokariablo@mail2tor.comborisrazor@nerdmail.cofourfingeredfrankie@onionmail.orgkalitulz@protonmail.comkalitulz@yandex.comgener888@tutanota.comsacura1716@cock.lihighlvlservice@ctemplar.comhighlvlservice@tfwno.gfstrike999@tutanota.comstrike8889@protonmail.comchinadecrypt@msgsafe.iophobossp@protonmail.chphobos@mailfence.comhelp2021me@aol.comjohnnylo@techmail.infojohnnylo@keemail.mejessanor@airmail.ccnullcipher@goat.sixena@airmail.ccnullcipher@tutanota.comglobalbtc@gmx.defastwindglobe@mail.eefastwindglobe@cock.liglobalbtc2@mein.gmxoperator@wedecrypt.nethelp@wedecrypt.netzahary@techmail.infofiles0at0risk0support@cock.li,musonn@airmail.ccrobud@ctemplar.comblockfiles12@tutanota.comblockfiles12@cock.lirobud@outlookpro.netsidor@airmail.ccmrreturn@ctemplar.comgener888@tuta.io、gener888@ cock.liunloucker1999@tutanota.comhelp1999@tutanota.comferdinandcohn1828@gmx.comalbertwesker1998@tutanota.comaider1999@tutanota.commrrobot13@tuta.iobackupsoftware@techmail.info, phobos@criptext。 com, dharma@firemail.ccdecbot13@protonmail.comelinali@airmail.ccvadoranz@airmail.ccsazepa@tuta.iosazepa@cock.liresp0nse1999@tutanota.comfriderique@tutanota.comwikidev@keemail.mewikidev@techmail.infobillscars@gmx.combillscars@mailfence.commmgy@tutanota.com

91数据恢复工程师
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
勒索病毒eking.devos.mkp.makop.lockbit.eight.locked.roger等剖析及中毒文件恢复
m0_71861838的博客
07-29 2199
勒索病毒eking.devos.mkp.makop.lockbit.eight.locked.roger等剖析及中毒文件恢复.推荐一篇博文https://pangniao.netlify.app 笔者是学到了很多有用的东西。
如何删除 Eking勒索病毒并恢复受感染的文件
a5854129的博客
03-09 1366
任何个人、企业、组织或政府都是勒索软件的目标。网络罪犯正在寻找任何愿意支付赎金以重新获得对其数据、计算机网络、服务器或移动设备的访问权限的人。
【91数据恢复】.[killhackfiles@cock.li].Devos勒索病毒数据恢复
weixin_13318844580的博客
03-20 6138
在当今数字化时代,勒索病毒成为了网络攻击者使用的一种流行的方式。Devos勒索病毒是其中一种常见的勒索软件。Devos勒索病毒是一种恶意软件,其作用是加密受感染计算机上的文件。下面我们91数据恢复研究院将详细介绍Devos勒索病毒的相关信息。如果不幸感染了这个勒索病毒,您可添加我们的数据恢复服务号(shujuxf)免费咨询获取数据恢复的相关帮助。这个后缀已经是Phobos老牌勒索病毒家族的第N个升级变种了,下面我们来了解看看这个.Devos后缀勒索病毒
CockroachDB-备份与恢复(6)RESTORE命令
数据源的港湾
12-01 443
RESTORE语句从存储在AWS S3、谷歌云存储或NFS等服务上的备份中恢复集群的模式和数据。因为cockachdb设计了高容错性,恢复主要是为灾难恢复设计的,也就是说,如果集群丢失了大部分节点,则重新启动集群。孤立的问题(如小规模节点中断)不需要任何干预。
数据恢复国赛实训新增文件修复脚本文件编写等内容
hjdnwxpx2019的博客
12-25 353
通过理论与实战技能提升,重点提高师生以下方面的能力和素养:硬盘故障检测与维修能力,使用WINHEX软件恢复硬盘分区信息与数据的能力,台式机组装与测试能力,操作系统与应用软件的安装优化能力,现场5S(整理、整顿、清扫、清洁、素养)管理能力等。在专业发展中,展现中高职教育应用型专门人才和高素质劳动者培养成果,增强中高职信息技术类专业学生升学、就业的竞争力,提高升学、就业水平。 1、国赛考试题型框架与WINHEX、R-STUDIO软件功能及快捷键讲解。 2、硬盘电路板结与供电构讲解。 3、U盘FAT32结构
.online24files@airmail.cc勒索病毒数据恢复(Scarab系列)
weixin_34162401的博客
12-03 2150
online24files@airmail.cc后缀病毒(Scarab勒索病毒)是一个加密你的数据并要求金钱作为赎金来恢复它的人。文件将收到.online24files@airmail.cc。该.online24files @ airmail.cc病毒(Scarab勒索病毒)将离开勒索指令作为桌面墙纸图像。名称.online24files @ airmail.cc病毒类型...
sunplus.zip_Sunplus-Tool_decrypt tool_sunplus Firmware_sunplus+t
07-15
sunplus firmware decrypt tool
EnMicroMsg_Decrypt.7z
03-11
该版本已过时,请移步下载新版本。
AES.zip_AES_AES C程序_aes encrypt decrypt_vba aes_vba aes.key
09-24
AES,全称Advanced Encryption Standard(高级加密标准),是目前广泛使用的对称加密算法,用于保护敏感数据的安全。这个AES.zip文件包含了一个AES加密和解密的程序,适用于学习和交流。AES的核心在于其分组密码设计...
jsencrypt.js 下载jsencrypt.js 下载
01-17
5. **解密数据**:调用`decrypt()`方法对加密的数据进行解密。 ### 示例代码 ```javascript var encrypt = new JSEncrypt(); encrypt.generateKeys(); // 生成密钥对 // 设置公钥 var publicKey = '-----BEGIN ...
windows勒索病毒专杀工具:一键修复 彻底查杀
05-22
从 5 月 12 日爆发至今,名为WannaCry的勒索病毒让全球数十万Windows计算机中招,黑客将用户计算机中的重要文件实施加密,并索要赎金解锁。这种情况如果发生在企业服务器当中,那么将带来严重损失。 对此,阿里云安全团队经过不懈努力研究,终于找到解救被WannaCry病毒劫持的计算机的办法。 5 月 20 日,阿里云安全团队向云上、云下服务器用户开放勒索病毒“一键解密和修复”工具。 经过实际测试,如果被勒索后未重启操作系统,该工具可以恢复已被WannaCry勒索病毒加密的文件。 阿里云建议,在勒索病毒“中招后”,不要马上关闭、重启操作系统,也不要去手工查杀病毒,直接使用该修复工具尝试恢复数据。 一、适用范围 该工具适用于云上、云下Windows服务器操作系统用户。 操作系统版本包括:Windows Server 2003、Windows Server 2008。 二、工作原理及研究基础 本次发布的修复工具基于wannakiwi项目的研究成果:既通过搜索内存中的数据,获取解密的关键素数来进行数据解密。 阿里云安全团队在此研究基础上,进行调试和封装,让工具简单易用。 详细介绍:http://www.sudujun.com/html/201705/1090.html
勒索病毒专杀工具
04-13
这是一个勒索病毒 wannacry 专杀工具,去年客户中招了不少,都是用这个工具进行查杀的。
lsadecryptxp:NT 5.1 和 5.2 的 LSASS LsaEncryptMemory(..decrypt..)
07-18
无论如何,它应该能够解密加密数据,前提是您知道 DES 密钥 16 轮调度和 IV,由调试符号 lsasrv!g_pDESXKey 和 lsasrv!g_Feedback 指向。 如何使用 解密例程包含在名为lsadecryptxp.py的单个文件中。 在lstest.py...
关于腾讯云主机遭遇勒索病毒RANSOMWARE(aariz@airmail.cc)的解决办法
IT人利哥的博客
12-20 5716
   今天上班的时候,腾讯云突然发来一份邮件说我的那台学生机在异地登陆了,我赶紧去连接xshell看了下。 结果就是下面的信息 Hi, please view here: https://pastebin.com/raw/eFDC9giY for information on how to obtain your files! 网址内容如下: YOU HAVE BEEN INFECTE...
处理eking.Devos勒索病毒防范解密恢复操作攻略
m0_71861838的博客
08-08 2560
eking.Devos勒索病毒防范解密恢复操作攻略;什么是勒索病毒?怎么感染的病毒?怎么防范?怎么恢复中毒文件?
深度分析– Phobos 家族勒索病毒的 .eking变体
qq_38515028的博客
05-17 1054
受影响的平台:Microsoft Windows 受影响的各方:Windows用户 影响:为受害者的文件加密赎金 严重级别:严重 Phobos 勒索软件家族是最近才出现的,直到2019年初才被安全研究人员首先发现。但是从那时起,它继续推出新的变种,不仅发展了攻击方法,而且还经常更改加密文件的扩展名。过去的变体。在其短暂的历史中,其受害者经常抱怨说,由于不还原文件,他们被火卫一的攻击者欺骗。 两周前,FortiGuard实验室从野外捕获了一个新的威胁样本。这是一个带有恶意宏的Microsoft Word.
[back2023@proxy.tg].eking勒索数据库恢复---惜分飞
10-05 484
有客户文件系统被勒索加密,被加密扩展名为.id[F494A52E-3009].[back2023@proxy.tg].eking 通过分析损坏情况,确认每个文件被加密破坏192个block 通过自研的数据库恢复工具对于损坏的数据进行修复 ...
计算机数据恢复试题,数据恢复半期考试试题答案.doc
weixin_33514864的博客
07-06 1917
数据恢复半期考试试题答案.doc 数据恢复半期考试题及答案一、名词解释(每题3分,共15分1. 数据恢复就是将通过正常途径不能恢复的数据通过一定的技术手段恢复的过程;2. 主轴转速指单位时间内硬盘盘片(或轴承)转动的圈数;3. 全程访问时间这是一种计算机方面的用词,是指磁头开始移动直到最后找到所需要的数据块所用的全部时间,单位为毫秒(ms);4. 潜伏期指当磁头移动到数据所在的磁道后,然后等待所要...
使用gpg.decrypt_file()生成的数据是什么类型
最新发布
06-12
使用 `gpg.decrypt_file()` 方法解密 GPG 加密文件后,返回的是一个 `file` 对象,表示解密后的明文数据。文件对象是 Python 内置的 I/O 对象,可以像读取普通文件一样读取它的内容。 需要注意的是,`gpg.decrypt_file()` 方法返回的 `file` 对象是一个迭代器,需要使用 `for` 循环或者 `read()` 方法来读取文件内容。例如,以下示例演示了如何使用 `gpg.decrypt_file()` 方法读取解密后的文件内容: ```python import gnupg gpg = gnupg.GPG() with open('encrypted_file.gpg', 'rb') as f: decrypted_data = gpg.decrypt_file(f) # 读取解密后的文件内容 for line in decrypted_data: print(line.decode('utf-8')) ``` 在上面的示例中,我们首先使用 `with open()` 语句打开加密文件,然后调用 `gpg.decrypt_file()` 方法解密文件,得到一个 `file` 对象。最后,我们使用 `for` 循环遍历 `file` 对象中的每一行数据,并使用 `decode()` 方法将其转换为字符串类型。 需要注意的是,`file` 对象是一个可迭代对象,它的每个元素都是一个字节串(`bytes` 类型),因此在使用 `for` 循环或者 `read()` 方法读取文件内容时,需要将字节串转换为字符串类型,并指定正确的字符编码(例如 UTF-8)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值