近日 Phobos 勒索軟體家族Eking勒索病毒較活躍,今天接到一個oracle資料庫 勒索病毒加密的案例, 由於DBF文件被全加密,但是可以從加密的DMP備份文件恢復。可以解決問題。
下面是 該病毒的一些資料
Eking屬於 Phobos 勒索軟體家族。它對文件進行加密,重命名並生成大量勒索消息。Eking通過添加受害者的ID,decphob @ tuta.io電子郵件地址並在文件名後附加「 .eking 」擴展名來重命名文件。例如,它重命名「 1.JPG 」到「 1.jpg.id [1E857D00-2275] [decphob@tuta.io] .eking 」, 「 2.JPG 」到「 2.jpg.id [1E857D00-2275 ]。[decphob@tuta.io] .eking 」,依此類推。它在彈出窗口中顯示勒索消息(「 info.hta 」),並在文本文件中創建另一個勒索消息(「 info.txt 」)。
info.hta和info.txt勒索消息指出,受害者必須通過發送電子郵件至decphob@tuta.io或decphob@protonmail.com並等待進一步的指示來聯繫Eking的開發人員。如果受害者在24小時內未收到答覆,則敦促他們通過提供的Tor網站鏈接與網路犯罪分子聯繫。它們還提供多達五個文件的免費解密,可以在支付解密費用之前將其發送給Eking的開發人員。不幸的是,沒有其他工具可以解密Eking勒索軟體破壞的文件-只有Eking的開發人員才擁有有效的解密工具。請注意,即使付款後,勒索軟體開發人員也不會發送解密工具/密鑰。因此,信任網路罪犯的受害者經常被騙。一般來說,恢復對由於勒索軟體攻擊而丟失的文件的訪問的唯一方法是從備份中還原它們。從操作系統中卸載Eking將阻止進一步的加密,但是,即使刪除了勒索軟體,已經加密的文件仍然無法訪問。
鼓勵用戶支付贖金以解密其泄露數據的消息的屏幕截圖:
還有許多其他勒索軟體感染的例子,包括 Koti,ZoNiSoNaL和MR.ROBOT。該軟體對數據進行加密,並提供有關如何聯繫設計數據的網路罪犯,支付贖金和其他信息的說明。共同的區別是勒索軟體用來鎖定(加密)文件的解密工具/密鑰和加密演算法(對稱或非對稱)的成本。在大多數情況下,僅當勒索軟體包含錯誤/缺陷且不完整時,才可以進行免費解密。不幸的是,這種情況很少見。因此,將數據備份到遠程伺服器(例如Cloud)和/或未插拔的存儲設備上非常重要。
勒索軟體如何感染我的計算機?
網路罪犯用於傳播勒索軟體和其他惡意軟體的一些最常見方法是通過垃圾郵件活動,假冒軟體更新程序,不可信的下載渠道,非官方的軟體激活工具和特洛伊木馬。他們使用垃圾郵件活動發送包含惡意附件或旨在下載危險文件的網站鏈接的電子郵件。他們的主要目的是欺騙收件人打開(執行)惡意文件,然後安裝惡意軟體。這些文件通常是Microsoft Office文檔,存檔文件(ZIP,RAR),PDF文檔,JavaScript文件以及諸如.exe之類的可執行文件。惡意軟體還通過偽造的軟體更新程序進行傳播。通常,非官方的第三方更新工具不會更新/修復任何已安裝的軟體。他們只是通過利用過時的軟體的錯誤/缺陷來安裝惡意軟體或感染系統。此外,不受信任的軟體下載渠道也可以分發惡意軟體。對等網路(例如torrent客戶端,eMule,免費文件託管站點,免費軟體下載網站和其他類似渠道)通常會導致惡意文件的下載。執行後,這些文件將使用惡意軟體感染計算機。請注意,這些文件經常偽裝成合法的和常規的。試圖免費激活付費軟體的人們使用軟體「破解」程序,但是,它們經常安裝勒索軟體類型和其他惡意軟體。木馬在安裝時會傳播惡意軟體-如果已經安裝了這種類型的惡意程序,則可能會造成其他破壞。免費軟體下載網站和其他類似渠道通常會導致惡意文件的下載。執行後,這些文件將使用惡意軟體感染計算機。請注意,這些文件經常偽裝成合法的和常規的。試圖免費激活付費軟體的人們使用軟體「破解」程序,但是,它們經常安裝勒索軟體類型和其他惡意軟體。木馬在安裝時會傳播惡意軟體-如果已經安裝了這種類型的惡意程序,則可能會造成其他破壞。免費軟體下載網站和其他類似渠道通常會導致惡意文件的下載。執行後,這些文件將使用惡意軟體感染計算機。請注意,這些文件經常偽裝成合法的和常規的。試圖免費激活付費軟體的人們使用軟體「破解」程序,但是,它們經常安裝勒索軟體類型和其他惡意軟體。木馬在安裝時會傳播惡意軟體-如果已經安裝了這種類型的惡意程序,則可能會造成其他破壞。這些程序供試圖免費激活付費軟體的人使用,但是,它們經常安裝勒索軟體類型和其他惡意軟體。木馬在安裝時會傳播惡意軟體-如果已經安裝了這種類型的惡意程序,則可能會造成其他破壞。這些程序供試圖免費激活付費軟體的人使用,但是,它們經常安裝勒索軟體類型和其他惡意軟體。木馬在安裝時會傳播惡意軟體-如果已經安裝了這種類型的惡意程序,則可能會造成其他破壞。
詳情:
勒索病毒名字 Eking virus
類型 Ransomware, Crypto Virus, Files locker.
加密後的擴展名 .eking
贖金消息文本 info.hta and info.txt
郵件地址 decphob@tuta.io, decphob@protonmail.com, holylolly@airmail.cc, digistart@protonmail.com, greed_001@aol.com, helpmedecoding@airmail.cc, Black_Wayne@protonmail.com, Decryptdatafiles@protonmail.com, supp0rt@cock.li, quickrecovery05@firemail.cc, tsec3x777@protonmail.com, DECRYPTUNKNOWN@Protonmail.com, gluttony_001@aol.com, recoryfile@tutanota.com, ICQ@fartwetsquirrel, jerjis@tuta.io, holylolly@airmail.cc, pride_001@aol.com, kabura@firemail.cc, r4ns0m@tutanota.com, contactjoke@cock.li, moon4x4@tutanota.com, hublle@protonmail.com, clearcom@protonmail.com, chinadecrypt@fasthelpassia.com, paymantsystem@cock.li, Hubble77@tutanota.com, savemyself1@tutanota.com, qirapoo@firemail.cc, yoursjollyroger@cock, raboly@firemail.cc, eight20@protonmail.com, divevecufa@firemail.cc, cyvedira@firemail.cc, filedec@tutanota.com, crioso@protonmail.com, eleezcry@tutanota.com, HELPUNKNOWN@Tutanota.com, decrypt20@vpn.tg, kubura@firemail.cc, rodrigos@keemail.me, chadmad@ctemplar.com, chadmad@nuke.africa, dataencrypted@tutanota.com, itambuler@protonmail.com, itambuler@tutanota.com, dcrptfile@protonmail.com, filesdecrypt@aol.com, davidshelper@protonmail.com, reynoldmuren@tutanota.com, dacowe@firemail.cc, dozusopo@tutanota.com, subik099@tutanota.com, subik099@cock.li, trizvani@aol.com, trizvani@tutanota.com, datashop@list.ru, wugenaxu@firemail.cc, databack@airmail.cc, databack@firemail.cc, moonlight101@tutanota.com, moonlight10@mail.ee, fata52@cock.li, fata54@cock.li, phobos2020@cock.li, phobos2020@tutanota.com, xiaolinghelper@firemail.cc, redsnow911@protonmail.com, surpaking@tutanota.com, surpakings@mail.ee, btcunlock@airmail.cc, btcunlock@firemail.cc, anticrypt2020@aol.com, wiruxa@airmail.cc, yongloun@tutanota.com, anygrishevich@yandex.ru, alonesalem@keemail.me, alonesalem@protonmail.com, encrypted60@tutanota.com, cifrado60@tutanota.com, rantime@tuta.io, ransomtime@cock.li, opticodbestbad@aol.com, opticodbestbad@mail.ee, unlockdata@firemail.cc, onlyway@secmail.pro, jobiden1942@protonmail.com, jonneydep@protonmail.com, forumsystem@cock.li, forumsystem@techmail.info, sdx-2020@tutanota.com, sdx-20200@protonmail.com, encryption2020@aol.com, grootp2@protonmail.com, noobt56@protonmail.com, dragon.save@aol.com, dragon.save@yahoo.com, dragon.save@aol.com, drgreen1@keemail.me, drgreen2@protonmail.com, decryption24h@criptext.com, decryption24h@elude.in, fastwind@mail.ee, fastwind2@protonmail.com, newera@ctemplar.com, newera@tfwno.gf, johnsonz@keemail.me, johnsonz@cock.lu, pandora9@tuta.io, happy@gytmail.com, ghosttm@zohomail.com, falcon360@cock.li, tebook12@protonmail.com, rody_218@protonmail.com, erichhartmann_main@protonmail.com, erichhartmann_reserve@tuta.io, files@restore.ws, covidv19@tutanota.com, dtramp@tuta.io, lexus@gytmail.com, decrypt20@stealth.tg, decrypt20@firemail.cc, dowendowxxx@privatemail.com, ransom1999@tutanota.com, ransom2000@tutanota.com, hellook@gytmail.com, 1bmx1@tuta.io, ransomsophos@tutanota.com, dr.cryptor@secmail.pro, dr.cryptor@protonmail.com, lepuscrysupp@mail.ee, lepuscrysupp@cock.li, keydecryption@airmail.cc, 5559912@firemail.cc, infoback@criptext.com, infoback@mail.ee, datastore@outlookpro.net, getmydata@cock.li, in0x2@tutanota.com, in0x2@int.pl, ransomwaree2020@cock.li, ransomwaree2021@cock.li, ghiedksjdh6hd@cock.li, sdjhf4df@potronmail.com, harpia2019@aol.com, harpia2019@mailfence.com, unlockfile@firemail.cc, unlockfile@criptext.com, jennymombu@aol.com, jennymombu@firemail.cc, decryption24h@mailfence.com, ezfilesdec@tutanota.com, filesdecrypt@aol.com, helpme2021@aol.com, firmaverileri@bk.ru, sacura889@tutanota.com, sacura889@protonmail.com, anticrypt2021@aol.com, james2020m@aol.com, james2020m@cock.li, jackkarter@gmx.com, jackkarter@cock.li, maykeljakson@cock.li, maykeljakson@criptext.com, basani400@aol.com, basani400@mailfence.com, jonnylow@techmail.info, jonnylow@keemail.me, databankasi@bk.ru, crashonlycash@gmx.com, gracia154@tuta.io, gracia154@cock.li, help4rec@tutanota.com, help4dec@cock.li, coderunlocker@gmail.com, coderunlockerr@gmail.com, howrecover@tutanota.com, recover1@cock.li, mikolio@cock.li, mikolio@xmpp.jp, sharm777@aol.com, sharm777@protonmail.com, boomblack@tutanota.com, boomblack@cock.li, @helpsnow (Telegram), and decphob on Sonar
殺毒軟體檢測名稱 Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.GenericKD.33855769), ESET-NOD32 (A Variant Of MSIL/GenKryptik.EKSC), Kaspersky (
HEUR:Trojan-PSW.MSIL.Agensla.gen), Full List Of Detections (VirusTotal)
進程 Battleships (its name may vary)
加密後的形式 Cannot open files stored on your computer, previously functional files now have a different extension (for example, my.docx.locked). A ransom demand message is displayed on your desktop. Cyber criminals demand payment of a ransom (usually in bitcoins) to unlock your files.
感染途徑 Infected email attachments (macros), torrent websites, malicious ads.
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/277810.html
微信掃一掃 
支付寶掃一掃 