目录前言:简介一、什么是 .consultrasky-F-XXXXX后缀勒索病毒?二、中了.consultrasky后缀勒索病毒文件怎么恢复?三、恢复案例介绍:前言:简介.consultrasky-F-XXXXX后缀勒索病毒是海外著名勒索病毒大家族Mallox(TargetCompany)的新式传播病毒,该变种病毒与Mallox勒索病毒家族不一样的地方是其加密部分占比更多,加密算法更加完善,近期大家早已收到一些的公司咨询与寻求帮助,请各公司尽量加强防范。近日,某公司遭受.consultrasky勒索病毒攻击,攻击者对几台机器设备实现了数据加密。为了避免攻击进一步扩散,该公司关掉了一部分网站服务器,促使一部分员工没法开展工作中。据了解,机器设备中的资料被加上了“.consultrasky-F-XXXXX”后缀名,XXXXXX是加密ID号,每台机器的XXXXX部分都不一样,而且没法正常的开启。根据后缀名可明确该病毒感染为Mallox大家族勒索病毒。该病菌关键利用RDP远程桌面连接弱口令开展攻击,因为许多客户设定的登陆密码太过于简易,非常容易被攻击者暴力破解密码,并将勒索病毒嵌入设备中实行加密文件。下面我们来了解看看这个 .consultrasky-F-XXXXX后缀勒索病毒。
一、什么是 .consultrasky-XXXXX勒索病毒?.consultraskey-ID号病毒是一种基于文件勒索病毒代码的加密病毒,隶属于国外知名的勒索病毒家族Mallox。这个病毒已在主动攻击中被发现。.consultraskey-ID号勒索病毒以某种方式进入计算机后,会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。一旦在入侵后电脑系统上执行加密,.maxoll并在文件名后附加“.consultraskey-ID号”扩展名。例如,最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.consultraskey-XXXXX”,“ 2.jpg ”显示为“ 2.jpg.consultraskey-XXXXX”,依此类推。..consultraskey还创建了一个说明文件。.consultraskey-XXXXX,.maxoll, .bozon,.explus,.avast,.devicZz,.consultransom,.mallox,.carone,.exploit,.architek,.brg,.herrco,artiis等勒索病毒感染对于大多数杀毒软件识别来说可能非常具有挑战性,因为文件加密过程完成后不会损坏文件。因此,您的杀毒软件不太可能警告您系统后台正在进行文件加密过程。这是因为,实际上,加密程序是一种被广泛使用的数据保护技术,一般情况下不会造成文件损坏,所以杀毒软件都不会阻止这个过程,这也是为什么很多受害者反馈机器上有运行安全防护软件,但是却没有拦截住此文件加密行为。该病毒感染会停止很多关键的Windows过程,便于更迅速地数据加密数据信息。大家对中毒了设备开展了剖析并得出以下结论:,Mallox勒索病毒大家族混和应用了Chacha20和AES-128优化算法,在数据加密数据信息上载入了稳固的登陆密码并留有敲诈勒索信表明文档。.consultrasky-XXXXX后缀病毒勒索信RECOVERY INFORMATION !!!.txt说明文件内容:YOUR FILES ARE ENCRYPTED !!!TO DECRYPT, FOLLOW THE INSTRUCTIONS:To recover data you need decrypt tool.To get the decrypt tool you should:1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
5.Your key is only kept for seven days beyond which it will never be decrypted!
6.Do not rename, do not use third-party software or the data will be permanently damaged!
7.Do not run any programs after the computer is encrypted. It may cause program damage!CONTACT US:
consult.raskey@tutanota.com
If no response is received within 12 hours contact: consult.raskey@onionmail.orgID:17052022+oaisMCgbef18b65.consultrasky-XXXXX勒索病毒是怎样散播感染的?通过分析几家公司感染该勒索病毒后的设备自然环境及系统软件日志分析,Mallox勒索病毒大家族几乎是根据下面多种方法侵入。
二、中了.consultrasky后缀勒索病毒文件怎么恢复?此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。
三、恢复案例介绍:1. 被加密数据情况一台公司服务器,需要恢复的数据104万个+,客户主要需要恢复数据库文件。
2. 数据恢复完成情况数据完成恢复,104万+个文件均全部100%恢复。恢复完成的文件均可以正常打开及使用。
四、系统安全防护措施建议:预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。⑦ 尽量关闭不必要的文件共享。⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
有的病毒咋杀不掉啊
一、病毒杀不死的原因经常听人说,病毒软件报告杀死了某某病毒,可是重新启动后该病毒仍旧存在,无法杀死。病毒杀不死的原因主要有:
1.病毒正在运行。由于Windows保护正在运行的程序,所以杀毒软件是无法杀死正在运行的病毒。即使是真的杀死了病毒,电脑正常关机时内存中活动的病毒还会再复制一个病毒到硬盘上。
2.病毒隐藏在系统还原的文件夹“_restore”中。
二、对策
1.在Windows中杀毒前首先得中止病毒进程。对于WindowsXp/2000,可以使用任务管理器(Ctrl+Alt+Del三键齐按)来查看当前所有的进程,而对于Windows98/Me,则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个,该过程俗称“杀进程”。不要怕出错,因为不会对电脑造成任何损坏,最多就是死机。注意,杀进程的操作有时得进行两次才成功。有的病毒有两个进程,互相保护,杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉,然后用突然断电的方式重启电脑,再杀毒。
2.在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。
3.禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑,在dos下删除_RESTORE文件夹。
4.在Dos下杀毒不存在杀不死的问题。一般的杀毒软件都可以制作软盘版(含至少3张软盘),用第一张盘启动(CMOS中必须设定软盘启动在前)后按提示陆续放入其它盘就可以直接杀毒了。瑞星的软盘版需要用鼠标确定杀毒的驱动器,而金山毒霸的软盘版则默认全机查杀。实际上用金山毒霸在DOS下杀毒还可以更简单,用普通软盘启动盘或U盘启动盘启动电脑后,先换到C盘,然后进入金山毒霸的目录(命令:cd
kav或cd
kav5,与版本有关),然后输入KAVDX,回车就开始杀毒了。
5.补充操作。病毒杀死后还应该修复注册表。。
