北京某国际贸易公司大年初四中招GANDCRAB V5.1最新变种勒索者病毒,服务器SQL SERVER 数据库全部被加密。服务器内文件被加密后后缀被修改为:.FNNECFJYRO,如下图:
被加密文件
为避免客户文件泄密,仅截取一个非隐私文件,请大家理解。
GandCrab勒索病毒的V5.1最新版变种,其文件加密算法采用RSA-2048+ salsa20,并且加密共享目录中的文件, 并使用漏洞进程提权还将系统中指定的文档和文件加密为随机字符后缀,然后对用户进行勒索。
黑客留下如下信息:
---= GANDCRAB V5.1 =---
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .FNNECFJYRO
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/4924c10665e3c5c
| 4. Follow the instructions on this page
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
... ... ... ...
后续为病毒加密ID。
鸿萌接到客户的求助后,在对样本进行分析和研究后,成功为客户重要数据解密成功。
一旦不幸中招勒索者病毒后,鸿萌建议:
1.)请不要慌张,不要急于忙乱操作或是误操作,以避免造成数据的二次破坏;
2.) 尽快将服务器进行断网,以中止病毒传播,避免病毒在局域网络内大面积扩散。
3.)如果是IT技术人员,请详细查看服务器现在的具体状况,如果发现勒索软件正在加密过程中,
或者加密已经完成,都请保持现状不要做过多的操作。因为直接关机或者重启,有可能会导致一些重要数据被加密一半,导致因为加密不完整而无法解密的情况。
4.)不要尝试用第三方解密工具进行解密修复,目前没有任何一款工具支持免费解密这种勒索者病毒的加密文件,只会导致数据的二次破坏;
5)不要轻易尝试联系黑客解密数据,很有可能遭受二次经济损失。
6)断网之后,您需要做的就是联系专业的数据恢复公司需求协助。
上述建议是结合了不少客户的不幸遭遇后,我们总结出来的。不听从建议盲目的操作,貌似对公司或者单位数据负责,实际做了数据的杀手。导致珍贵数据被二次加密或者产生其他破坏而无法恢复,还有可能被黑客骗去金钱而无处哭诉。
鸿萌,国内知名数据安全服务提供商,我们愿为您的数据安全保驾护航!
勒索者病毒肆虐
网友评论