根据样本分析和勒索病毒留下的信息看类似之前出现过的MedusaLocker勒索病毒家族加密软件,例如:deadfiles勒索病毒,情况类似。
【病毒进入电脑的渠道入口很多】
病毒传播给受害者,会通过发送电子邮件副本和托管网络钓鱼站点来散播,这些站点在冒充公司和服务登录页面。
它们可以携带受感染的文件(比如word文件宏感染的文档或著名软件的设置文件),当用户启动它们时,内置代码将导致病毒感染。
当然还有其他方式传播比如将必要的文件上传到包括BitTorrent在内的文件共享网络扩散感染。
还有常见的RDP攻击或者其他对外端口进入,近期还发现局域网内部传播,在一个局域网内有一台电脑连接外网被感染后传播到局域网内其他未连接互联网的电脑。
等等。。
【加密、解密恢复文件情况】
病毒在加密感染windows系统的文件后会留下加密信息:how_to_back_files.html 、Recovery_Instructions.html
当前技术能修复处理数据库文件比如mdf ,dbf之类的数据库文件比较常用,但是市面上很多修复都不彻底不完善,所以技术还是有高低。
这么多年的行业经验跟技术深挖,除了对库文件本身处理以外还能根据电脑中的其他辅助文件及镜像处理,达到更高的修复率。
具体还是得分析文件情况,需要帮助可以求助我们的技术看看薇服务号shuju187。如果其他的文件也需要处理,图片文档之类的当然也有方案但是成本很高,数量估计也会很多,所以不到万不得已还是建议放弃。
下面这个图是病毒留下的加密信息,碰到这种被加密的文件,不要去改动文件的名称,也不要去通过别的工具去处理这些文件,因为没有通用工具能处理好。
4844
