【數據恢復】2022年末.locked1后綴勒索病毒再次卷土重來

17T91數據恢復-數據恢復專家
17T91數據恢復-數據恢復專家
 

目錄17T91數據恢復-數據恢復專家

前言：簡介17T91數據恢復-數據恢復專家

一、什么是.locked1勒索病毒？17T91數據恢復-數據恢復專家

二、中了.locked1后綴勒索病毒文件怎么恢復？17T91數據恢復-數據恢復專家

三、恢復案例介紹：17T91數據恢復-數據恢復專家

四、系統安全防護措施建議：17T91數據恢復-數據恢復專家

---

前言：簡介

         .locked1后綴勒索病毒與前段時間大肆傳播的.locked后綴勒索病毒都屬于TellYouThePass勒索病毒家族,.locked1后綴勒索病毒在去年底和今年中旬大肆傳播過一段時間，然后消停了一段時間，最近我們又接到一些公司的咨詢與求助感染了.locked1后綴勒索病毒的情況，請各企業務必加強防范。17T91數據恢復-數據恢復專家

        自該.locked后綴勒索病毒傳播以來，我們團隊也深入研究TellYouThePass勒索病毒家族的加密數據及其加密方式。經我們團隊檢測分析一些客戶的被加密服務器加密文件及成功恢復案例總結分析，目前已研究出可通過事前專業技術檢測確保數據文件完美恢復的事前檢測方法。如有該后綴的數據恢復需求，可添加我們的技術服務號（shujuxf）咨詢。接以下我們先來了解下.locked1勒索病毒。17T91數據恢復-數據恢復專家

 

一、什么是.locked1勒索病毒？

        locked1后綴勒索病毒是一種基于文件勒索病毒代碼的加密病毒。這種威脅已在主動攻擊中發現。有多種分發技術可用于在目標操作系統上傳送惡意文件，例如遠程桌面爆破、垃圾郵件、損壞的軟件安裝程序、torrent 文件、虛假軟件更新通知和被黑網站。17T91數據恢復-數據恢復專家

        locked1勒索病毒是國外傳播的Tellyouthepass勒索病毒變種。它通過木馬、系統漏洞或網站上的漏洞滲透到計算機中。一旦滲透成功，該病毒會更改Windows注冊表、刪除卷影副本、打開/寫入/復制系統文件、生成后臺運行的進程、加載各種模塊等。17T91數據恢復-數據恢復專家

        .locked1勒索病毒發作時，后臺進程掃描計算機，查找圖像、視頻、Office文檔和其他文件；對這些目標文件進行加密并將其擴展名更改為“.locked1”，用戶無法再正常打開這些文件。17T91數據恢復-數據恢復專家

        勒索病毒會繞開所有系統防御，開始加密文件的過程。在加密過程中會占用系統資源，計算機運行速度會變慢，但由于種種原因用戶可能不會察覺（比如休息日），最顯著的特征是擴展名變更為“.locked1”。17T91數據恢復-數據恢復專家

        與其他的勒索病毒相比，TellYouThePass勒索病毒及其變種.locked1傳播的速度更快、范圍更廣。病毒通過公開的軟件漏洞或者未公開的零day漏洞等方式進行快速大規模的感染，所以該病毒家族的每一次新型變種都應當引起機關、企業、個人的高度重視，必須加強防范與警惕。17T91數據恢復-數據恢復專家

 17T91數據恢復-數據恢復專家

勒索說明信README1.html說明文件的內容：17T91數據恢復-數據恢復專家

contact email: service@hellospring.online, prepare 0.12btc, if you can't contact my email, please contact some data recovery company(suggest taobao.com), may they can contact to me .your person id:KqwRsjutL2bOJD6vI2gLU7Xg4wWPCG7ybIi09JtaG p06Hv2/pfGk26J57N0Dr5/RrTpfMh+GwUraQtgIbLzyoYdXmTCWpyUP9wy3Zwrr54g9X83D9puXe VN3DDOmH9plpxY3dkCaa2DhpBiDFjkVvPz9120lElYkgSbpTJDoHLe7MaXfkihDYR8g3UCWB+HQk Uf41kwO3s3WWQmR7hkPf0cSl0gbPCnFoJyzAlZO5mfwINObLCD1qXWytFXuABTG/DzvjdaUn6gnF 3C3Jhj6Pb6DfuddHy+Ae8dDbp8PAf8UPuvpHlB2k3flf1W/zXHvTrcTZtM/HBqoPGcRJHT4NMuCC UT8lADz1GIReZBT1zM1uLsB03xGttJuVheZx0HWrW7IQu4YMWdmEuZ5hbHMUYAZazdh7KL0kJ6aq usJPdTXiDeaEMLeX2U+GUsqUSY5yq54Qdr3.....17T91數據恢復-數據恢復專家

 17T91數據恢復-數據恢復專家

.locked1勒索病毒是如何傳播感染的？17T91數據恢復-數據恢復專家

        經過分析多家公司感染.locked1勒索病毒后的機器環境及系統日志判斷，TellYouThePass勒索病毒家族基本上是通過以下方式入侵，請大家可逐一了解并檢查以下防范入侵方式，畢竟事前預防比事后恢復容易的多。17T91數據恢復-數據恢復專家

1. RDP/弱口令17T91數據恢復-數據恢復專家

        遠程桌面協議 (RDP : Remote Desktop Protocol) 主要用于用戶遠程連接并控制計算機，通常使用3389端口進行通信。當用戶輸入正確的用戶密碼，則可以直接對其遠程電腦進行操作，這為攻擊者提供了新的攻擊面。只要擁有正確的憑證，任何人都可以登錄該電腦。故攻擊者可以通過工具對攻擊目標進行端口掃描，如果用戶開啟了3389端口，并且沒有相關的防范意識，使用弱密碼如123456，攻擊者可以進行遠程連接并通過字典嘗試多種方式組合，暴力破解用戶名密碼。一旦擁有登錄權限，就可以直接投放勒索病毒并進一步橫向滲透擴大影響面。17T91數據恢復-數據恢復專家

2. 安全漏洞利用17T91數據恢復-數據恢復專家

        漏洞利用與時間息息相關，如果攻擊者利用 0day 進行攻擊，那么相關的系統或者組件是極其危險的。但是在以往的勒索事件中，大多數攻擊者一般采用的成熟的漏洞利用工具進行攻擊，如永恒之藍、 RIG 、 GrandSoft 等漏洞攻擊包等。如果用戶沒有及時修復相關漏洞，很可能遭受攻擊。17T91數據恢復-數據恢復專家

        為方便用戶做好漏洞防范工作，各國都提供了漏洞收集、查詢的機構。國際上最權威的是CVE，通用漏洞披露（Common Vulnerabilities & Exposures） ,官網：CVE -CVE；國內最權威的是CNVD，國家信息安全漏洞共享平臺（China National Vulnerability Database），官網：https://www.cnvd.org.cn/。17T91數據恢復-數據恢復專家

 

二、中了.locked1后綴勒索病毒文件怎么恢復？

        此后綴病毒文件由于加密算法的原因，每臺感染的電腦服務器文件都不一樣，需要獨立檢測與分析加密文件的病毒特征與加密情況，才能確定最適合的恢復方案。17T91數據恢復-數據恢復專家

        數據如果不需要恢復，則可以直接全盤格式化后再重裝系統進行使用，后期做好數據安全防范及異地備份工作即可。17T91數據恢復-數據恢復專家

        數據如果需要恢復，建議先咨詢專業的數據恢復公司，亦可添加我們的技術服務號（shujuxf）進行免費咨詢獲取數據恢復的相關幫助。17T91數據恢復-數據恢復專家

 

三、恢復案例介紹：

        近期我們已幫助多位客戶完成恢復感染.locked1后綴勒索病毒的服務器，下面展示其中一臺的數據恢復案例。17T91數據恢復-數據恢復專家

1. 被加密數據情況17T91數據恢復-數據恢復專家

         客戶的業務軟件服務器感染了.locked1后綴勒索病毒，被加密的文件有16萬+個，主要需恢復業務軟件的數據庫文件，數據庫文件多達幾百G之多。17T91數據恢復-數據恢復專家

編輯17T91數據恢復-數據恢復專家

編輯 17T91數據恢復-數據恢復專家

 17T91數據恢復-數據恢復專家

2. 數據恢復完成情況17T91數據恢復-數據恢復專家

數據完成恢復，16萬+個文件，包括業務軟件的數據庫文件均全部100%恢復?；謴屯瓿傻奈募梢哉４蜷_及使用。17T91數據恢復-數據恢復專家

編輯17T91數據恢復-數據恢復專家

編輯17T91數據恢復-數據恢復專家

 17T91數據恢復-數據恢復專家

四、系統安全防護措施建議：

        預防遠比救援重要，強烈建議大家日常做好以下防護措施，以確保您的機器能夠抵御來自任何勒索病毒的惡意攻擊。以下措施可以有效預防其攻擊：17T91數據恢復-數據恢復專家
         1.實施強密碼。許多帳戶泄露的發生是由于易于猜測的密碼，或者那些簡單到算法工具可以在幾天內發現的密碼。確保您選擇安全密碼，例如選擇具有字符變化的較長密碼，以及使用自行創建的規則來制作密碼短語。17T91數據恢復-數據恢復專家
         2.激活多重身份驗證。通過在基于密碼的初始登錄頂部添加層來阻止暴力攻擊。盡可能在所有系統上包括生物識別或物理 USB 密鑰身份驗證器等措施。17T91數據恢復-數據恢復專家
         3.重新評估并簡化用戶帳戶權限。將權限限制在更嚴格的級別，以限制潛在威脅不受阻礙地通過。特別注意端點用戶和具有管理員級別權限的 IT 帳戶訪問的那些。Web 域、協作平臺、Web會 議服務和企業數據庫都應該受到保護。17T91數據恢復-數據恢復專家
         4.清理過時和未使用的用戶帳戶。一些較舊的系統可能有來自過去員工的帳戶，這些帳戶從未停用和關閉。完成對系統的檢查應包括消除這些潛在的弱點。17T91數據恢復-數據恢復專家
         5.確保系統配置遵循所有安全程序。這可能需要時間，但重新審視現有設置可能會發現新問題和過時的策略，使您的企業面臨攻擊風險。必須定期重新評估標準操作程序，以應對新的網絡威脅。17T91數據恢復-數據恢復專家
         6.始終準備好系統范圍的備份和干凈的本地機器映像。事件會發生，唯一真正可以防止永久數據丟失的保護措施是脫機備份。您的數據應定期創建離線異地備份，以及時了解系統的任何重要更改。如果備份被惡意病毒感染可以考慮使用多個輪換的備份點來選擇文件保存周期。17T91數據恢復-數據恢復專家
         7.確保擁有全面的企業網絡安全解決方案?？梢钥紤]采購企業級的網絡安全保護軟件將幫助您通過實時保護捕獲整個企業網絡中的文件下載及更好地抵御網絡攻擊。以幫助您保護您的業務和設備。17T91數據恢復-數據恢復專家

 17T91數據恢復-數據恢復專家

?17T91數據恢復-數據恢復專家