<noframes id="zc7ly"></noframes>

<nav id="zc7ly"><xmp id="zc7ly"><nav id="zc7ly"></nav>

<tbody id="zc7ly"></tbody>

<tbody id="zc7ly"></tbody>

首頁數據恢復恢復案例數據庫恢復安全知識服務流程關于我們

【數據恢復】升級4代后最終活躍傳播的.FARGO3勒索病毒

客戶名稱：國內某公司
售前服務顧問：吳顧問
恢復工程師：魏工
恢復工期：1天
恢復范圍：一批數據庫
恢復率：100%

近日，我們收到有企業受到 .FARGO3勒索病毒的加密攻擊求助。該病毒主要針對企業的Web應用和數據庫服務器發起攻擊，攻擊者一直在使用 FARGO 勒索軟件（也稱為 Mallox 和 TargetCompany）攻擊易受攻擊的Microsoft SQL 服務器. FARGO 勒索軟件感染始于使用 cmd.exe 和 powershell.exe 下載 .NET 文件，這有助于額外的惡意軟件和儲物柜檢索，以及生成和執行負責進程和服務終止的 BAT 文件。當惡意軟件執行恢復停用命令時，FARGO 勒索軟件并未加密關鍵軟件和目錄，包括 Microsoft Windows 系統目錄、Tor 瀏覽器、Internet Explorer、啟動文件、調試日志文件和縮略圖數據庫，以及用戶自定義和設置。然后使用“.Fargo3”重命名所有加密文件。

微信

【數據恢復】升級4代后最終活躍傳播的.FARGO3勒索病毒

【數據恢復】升級4代后最終活躍傳播的.FARGO3勒索病毒

【數據恢復】升級4代后最終活躍傳播的.FARGO3勒索病毒

案例簡介：

近日，我們收到有企業受到 .FARGO3勒索病毒的加密攻擊求助。該病毒主要針對企業的Web應用和數據庫服務器發起攻擊，攻擊者一直在使用 FARGO 勒索軟件（也稱為 Mallox 和 TargetCompany）攻擊易受攻擊的Microsoft SQL 服務器. FARGO 勒索軟件感染始于使用 cmd.exe 和 powershell.exe 下載 .NET 文件，這有助于額外的惡意軟件和儲物柜檢索，以及生成和執行負責進程和服務終止的 BAT 文件。當惡意軟件執行恢復停用命令時，FARGO 勒索軟件并未加密關鍵軟件和目錄，包括 Microsoft Windows 系統目錄、Tor 瀏覽器、Internet Explorer、啟動文件、調試日志文件和縮略圖數據庫，以及用戶自定義和設置。然后使用“.Fargo3”重命名所有加密文件。

目錄Cxv91數據恢復-數據恢復專家

前言：簡介Cxv91數據恢復-數據恢復專家

一、什么是.FARGO3勒索病毒？Cxv91數據恢復-數據恢復專家

二、中了.FARGO3后綴勒索病毒文件怎么恢復？Cxv91數據恢復-數據恢復專家

三、恢復案例介紹：Cxv91數據恢復-數據恢復專家

四、系統安全防護措施建議：Cxv91數據恢復-數據恢復專家

前言：簡介

近日，我們收到有企業受到 .FARGO3勒索病毒的加密攻擊求助。該病毒主要針對企業的Web應用和數據庫服務器發起攻擊，攻擊者一直在使用 FARGO 勒索軟件（也稱為 Mallox 和 TargetCompany）攻擊易受攻擊的Microsoft SQL 服務器. FARGO 勒索軟件感染始于使用 cmd.exe 和 powershell.exe 下載 .NET 文件，這有助于額外的惡意軟件和儲物柜檢索，以及生成和執行負責進程和服務終止的 BAT 文件。當惡意軟件執行恢復停用命令時，FARGO 勒索軟件并未加密關鍵軟件和目錄，包括 Microsoft Windows 系統目錄、Tor 瀏覽器、Internet Explorer、啟動文件、調試日志文件和縮略圖數據庫，以及用戶自定義和設置。然后使用“.Fargo3”重命名所有加密文件。Cxv91數據恢復-數據恢復專家

之前短短1個月時間，這個病毒就升級了4代，從FARGO到FARGO2到FARGO3直到FARGO4，最后該勒索病毒組織選擇持續使用.FARGO3后綴，讓我們來看看這個后綴的入侵與加密的方式。Cxv91數據恢復-數據恢復專家

如果不幸感染了這個勒索病毒，您可添加我們的數據恢復服務號（shujuxf）免費咨詢獲取數據恢復的相關幫助。Cxv91數據恢復-數據恢復專家

一、什么是.FARGO3勒索病毒？

我們發現，.FARGO3是近期比較流行的勒索軟件之一，主要針對 Microsoft SQL 服務器。勒索軟件感染首先使用 powershell.exe 和 cmd.exe 將 .NET 文件下載到受感染的機器上。在有效負載獲取其他惡意軟件后，.BAT 文件會終止某些進程和服務。為確保企業無法恢復其數據，FARGO 會在啟動加密之前執行恢復停用命令并終止進程。加密完成后，FARGO 使用“.Fargo3”擴展名重命名鎖定的文件。Cxv91數據恢復-數據恢復專家

策略：初始訪問和持久性Cxv91數據恢復-數據恢復專家

T1078 有效賬戶Cxv91數據恢復-數據恢復專家

.FARGO3攻擊者使用通過暴力攻擊獲得的憑據獲得對目標機器的初始訪問權限。Cxv91數據恢復-數據恢復專家

戰術：執行Cxv91數據恢復-數據恢復專家

T1059 命令和腳本解釋器Cxv91數據恢復-數據恢復專家

初次訪問后，.FARGO3攻擊者會將其他惡意軟件轉移到受感染的網絡。該惡意軟件生成并執行 BAT 文件以關閉某些進程和服務。Cxv91數據恢復-數據恢復專家

vssadmin.exe 刪除陰影 /all /quiet bcdedit /set {current} bootstatuspolicy ignoreallfailures bcdedit /set {current} recoveryenabled noCxv91數據恢復-數據恢復專家

示例 1：用于禁止系統恢復的命令 [3]Cxv91數據恢復-數據恢復專家

fdhost.exeCxv91數據恢復-數據恢復專家

msmdsrv.exeCxv91數據恢復-數據恢復專家

oracle.exeCxv91數據恢復-數據恢復專家

sqlwrite.exeCxv91數據恢復-數據恢復專家

fdlauncher.exeCxv91數據恢復-數據恢復專家

mysql.exeCxv91數據恢復-數據恢復專家

ReportingServicesService.exeCxv91數據恢復-數據恢復專家

MsDtsSrvr.exeCxv91數據恢復-數據恢復專家

ntdbsmgr.exeCxv91數據恢復-數據恢復專家

sqlserv.exeCxv91數據恢復-數據恢復專家

表 3：.FARGO3攻擊者關閉的進程和服務列表Cxv91數據恢復-數據恢復專家

策略：權限提升Cxv91數據恢復-數據恢復專家

T1134 訪問令牌操作Cxv91數據恢復-數據恢復專家

FARGO組使用secedit.exe為其進程分配“ SeDebugPrivilege ”和“ SeTakeOwnershipPrivilege ”。此方法通常用于提升已分配進程的權限。Cxv91數據恢復-數據恢復專家

戰術：防御規避Cxv91數據恢復-數據恢復專家

T1055 工藝注入Cxv91數據恢復-數據恢復專家

.FARGO3勒索病毒通過進程注入到已運行的名為AppLaunch.exe的進程中執行。Cxv91數據恢復-數據恢復專家

T1112 修改注冊表Cxv91數據恢復-數據恢復專家

.FARGO3勒索病毒刪除了流行的勒索軟件保護工具 Raccine 的注冊表項。Cxv91數據恢復-數據恢復專家

T1562.001 削弱防御：禁用或修改工具Cxv91數據恢復-數據恢復專家

.FARGO3勒索病毒刪除以下注冊表項以禁止使用vssadmin.exe、wmic.exe、wbadmin.exe、bcdedit.exe、powershell.exe、diskshadow.exe、net.exe和taskkil.exe。Cxv91數據恢復-數據恢復專家

HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Cxv91數據恢復-數據恢復專家

圖像文件執行選項\ vssadmin.exe "Cxv91數據恢復-數據恢復專家

HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Cxv91數據恢復-數據恢復專家

圖像文件執行選項\ wmic.exe "Cxv91數據恢復-數據恢復專家

HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Cxv91數據恢復-數據恢復專家

圖像文件執行選項\ wbadmin.exe "Cxv91數據恢復-數據恢復專家

HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Cxv91數據恢復-數據恢復專家

圖像文件執行選項\ bcdedit.exe "Cxv91數據恢復-數據恢復專家

HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Cxv91數據恢復-數據恢復專家

圖像文件執行選項\ powershell.exe "Cxv91數據恢復-數據恢復專家

HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Cxv91數據恢復-數據恢復專家

映像文件執行選項\ diskshadow.exe "Cxv91數據恢復-數據恢復專家

HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Cxv91數據恢復-數據恢復專家

圖像文件執行選項\ net.exe "Cxv91數據恢復-數據恢復專家

HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Cxv91數據恢復-數據恢復專家

圖像文件執行選項\ taskkill.exe "Cxv91數據恢復-數據恢復專家

策略：憑據訪問Cxv91數據恢復-數據恢復專家

T1110蠻力Cxv91數據恢復-數據恢復專家

.FARGO3勒索病毒組織通過暴力破解和字典攻擊以數據庫服務器為目標，以獲取管理不善的帳戶憑據。Cxv91數據恢復-數據恢復專家

戰術：影響Cxv91數據恢復-數據恢復專家

T1486 數據加密影響Cxv91數據恢復-數據恢復專家

.FARGO3勒索病毒使用混合加密方法，通過 ChaCha20、AES-128 和 Curve25519 算法加密文件。加密后，加密文件會附加擴展名，例如 .Fargo、.Fargo2、Fargo3。Cxv91數據恢復-數據恢復專家

T1490 抑制系統恢復Cxv91數據恢復-數據恢復專家

.FARGO3勒索病毒會刪除卷影副本和其他恢復功能，以防止受害者恢復被盜和加密的文件。Cxv91數據恢復-數據恢復專家

.FARGO3勒索病毒是如何傳播感染的？Cxv91數據恢復-數據恢復專家

經過分析多家公司中毒后的機器環境判斷，勒索病毒基本上是通過以下幾種方式入侵，請大家可逐一了解并檢查以下防范入侵方式，畢竟事前預防比事后恢復容易的多。Cxv91數據恢復-數據恢復專家

Cxv91數據恢復-數據恢復專家

Cxv91數據恢復-數據恢復專家

二、中了.FARGO3后綴勒索病毒文件怎么恢復？

此后綴病毒文件由于加密算法的原因，每臺感染的電腦服務器文件都不一樣，需要獨立檢測與分析加密文件的病毒特征與加密情況，才能確定最適合的恢復方案。Cxv91數據恢復-數據恢復專家

考慮到數據恢復需要的時間、成本、風險等因素，建議如果數據不太重要，建議直接全盤掃描殺毒后全盤格式化重裝系統，后續做好系統安全防護工作即可。如果受感染的數據確實有恢復的價值與必要性，可添加我們的技術服務號（shujuxf）進行免費咨詢獲取數據恢復的相關幫助。Cxv91數據恢復-數據恢復專家

三、恢復案例介紹：

1. 被加密數據情況Cxv91數據恢復-數據恢復專家

一臺服務器，被加密的文件有數千個，主要是恢復業務數據庫文件。Cxv91數據恢復-數據恢復專家

Cxv91數據恢復-數據恢復專家

Cxv91數據恢復-數據恢復專家

2. 數據恢復完成情況Cxv91數據恢復-數據恢復專家

數據完成恢復，客戶所需的全部文件均已成功恢復，恢復率等于100%。Cxv91數據恢復-數據恢復專家

Cxv91數據恢復-數據恢復專家

Cxv91數據恢復-數據恢復專家

四、系統安全防護措施建議：

預防遠比救援重要，所以為了避免出現此類事件，強烈建議大家日常做好以下防護措施：Cxv91數據恢復-數據恢復專家

①　及時給辦公終端和服務器打補丁，修復漏洞，包括操作系統以及第三方應用的補丁，防止攻擊者通過漏洞入侵系統。Cxv91數據恢復-數據恢復專家

②　盡量關閉不必要的端口，如139、445、3389等端口。如果不使用，可直接關閉高危端口，降低被漏洞攻擊的風險。Cxv91數據恢復-數據恢復專家

③　不對外提供服務的設備不要暴露于公網之上，對外提供服務的系統，應保持較低權限。Cxv91數據恢復-數據恢復專家

④　企業用戶應采用高強度且無規律的密碼來登錄辦公系統或服務器，要求包括數字、大小寫字母、符號，且長度至少為8位的密碼，并定期更換口令。Cxv91數據恢復-數據恢復專家

⑤　數據備份保護，對關鍵數據和業務系統做備份，如離線備份，異地備份，云備份等，避免因為數據丟失、被加密等造成業務停擺，甚至被迫向攻擊者妥協。Cxv91數據恢復-數據恢復專家

⑥　敏感數據隔離，對敏感業務及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數據，對公司業務和機密信息造成重大威脅。Cxv91數據恢復-數據恢復專家

⑦　盡量關閉不必要的文件共享。Cxv91數據恢復-數據恢復專家

⑧　提高安全運維人員職業素養，定期進行木馬病毒查殺。Cxv91數據恢復-數據恢復專家
Cxv91數據恢復-數據恢復專家
.FARGO3后綴病毒勒索信RECOVERY FILES.txt說明文件內容：Cxv91數據恢復-數據恢復專家
YOUR FILES ARE ENCRYPTED !!!Cxv91數據恢復-數據恢復專家
Cxv91數據恢復-數據恢復專家
TO DECRYPT, FOLLOW THE INSTRUCTIONS:Cxv91數據恢復-數據恢復專家
To recover data you need decrypt tool.Cxv91數據恢復-數據恢復專家
To get the decrypt tool you should:Cxv91數據恢復-數據恢復專家
Cxv91數據恢復-數據恢復專家
1.In the letter include your personal ID! Send me this ID in your first email to me!Cxv91數據恢復-數據恢復專家
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!Cxv91數據恢復-數據恢復專家
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!Cxv91數據恢復-數據恢復專家
4.We can decrypt few files in quality the evidence that we have the decoder.Cxv91數據恢復-數據恢復專家
Cxv91數據恢復-數據恢復專家
Do not rename, do not use third-party software or the data will be permanently damagedCxv91數據恢復-數據恢復專家
Cxv91數據恢復-數據恢復專家
CONTACT US:Cxv91數據恢復-數據恢復專家
mallox@stealthypost.netCxv91數據恢復-數據恢復專家
Cxv91數據恢復-數據恢復專家
If first email will not reply in 24 hours then contact with reserve address:Cxv91數據恢復-數據恢復專家
recohelper@cock.liCxv91數據恢復-數據恢復專家
Cxv91數據恢復-數據恢復專家
YOUR PERSONAL ID:Cxv91數據恢復-數據恢復專家
Cxv91數據恢復-數據恢復專家
與該病毒同類的后綴病毒還有以下各種后綴，都是同一個病毒家族的：Cxv91數據恢復-數據恢復專家
.devicZz勒索病毒Cxv91數據恢復-數據恢復專家
.consultransom勒索病毒Cxv91數據恢復-數據恢復專家
.mallox勒索病毒Cxv91數據恢復-數據恢復專家
.bozon勒索病毒Cxv91數據恢復-數據恢復專家
.consultraskey-F-XXXXXXCxv91數據恢復-數據恢復專家
.consultraskey-R-XXXXXXCxv91數據恢復-數據恢復專家
.consultraskey-G-XXXXXXCxv91數據恢復-數據恢復專家
.consultraskey勒索病毒Cxv91數據恢復-數據恢復專家
.elmorenolan29勒索病毒Cxv91數據恢復-數據恢復專家
.bozon3勒索病毒Cxv91數據恢復-數據恢復專家
.FARGO勒索病毒Cxv91數據恢復-數據恢復專家
.FARGO勒索病毒Cxv91數據恢復-數據恢復專家
.FARGO2勒索病毒Cxv91數據恢復-數據恢復專家
.FARGO3勒索病毒Cxv91數據恢復-數據恢復專家
.FARGO4勒索病毒Cxv91數據恢復-數據恢復專家

我也需要恢復此后綴勒索病毒數據！

立即聯系我們

上一條： 【數據恢復】.[helprequest@techmail.info].mkp后綴勒索病毒恢復
下一條： Mallox病毒家族10月最新變種.mallox后綴勒索病毒升級傳播

微信掃描二維碼，立即聯系我們

蜜桃无码AV一区二区视频_不卡人妻无码AV中文系列_色AV综合AV无码AV网站_影院