IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 【数据恢复案例】广东某公司服务器感染.Globeimposter-Beta666qqz勒索病毒 -> 正文阅读

[系统运维]【数据恢复案例】广东某公司服务器感染.Globeimposter-Beta666qqz勒索病毒

目录

前言:案例简介

一、什么是.Globeimposter-Beta666qqz勒索病毒?

二、中了.Globeimposter-Beta666qqz后缀勒索病毒文件怎么恢复?

三、恢复案例介绍:

1. 被加密数据情况

2. 数据恢复完成情况

3. 恢复工期


前言:案例简介

? ? ? ??广东某公司服务器感染了后缀.Globeimposter-Beta666qqz勒索病毒,公司的2台服务器全部中毒,文件被全部加密,急需数据恢复,否则公司多年的业务设计图纸都毁于一旦,每张设计图纸的价值都不菲,公司业务将受到重挫,经联系91数据恢复工程师远程查看,并沟通协商了相应的解决方案,立即安排工程师驱车几百公里进行上门完成数据恢复工作,经过一个通宵的紧急施工恢复,最终于次日中午完成全部数据恢复。
? ? ? ? 近日,91数据恢复团队接到多起公司的求助,这些公司的服务器都因中毒感染.Globeimposter-Beta666qqz后缀勒索病毒而导致公司业务停摆或耽误,.Globeimposter-Beta666qqz后缀勒索病毒突然再次肆虐传播,这个勒索病毒究竟是什么来头?让91数据恢复团队分析看看。


一、什么是.Globeimposter-Beta666qqz勒索病毒?

????????.Globeimposter-Beta666qqz是GlobeImposter家族勒索病毒的恶意病毒?,感染了该恶意软件的系统已对其数据进行了加密,并且用户收到了对解密工具/软件的赎金要求。在加密过程中,所有受影响的文件都将附加扩展名“?.Globeimposter-Beta666qqz?”。例如,加密后,最初名为“?1.jpg?”的文件将显示为“?1.jpg.Globeimposter-Beta666qqz?”。无论如何,强烈建议您不要与罪犯进行交流和/或与罪犯交钱。尽管满足了赎金的要求,但受害者通常仍未收到承诺的解密工具/软件。因此,他们遭受财务损失,其数据仍保持加密状态。

????????黑客通过远程桌面口令爆破获得对目标计算机的访问权限后,勒索软件开始运行恶意进程,这些进程负责禁用防病毒程序,消除某些启动进程,感染合法的Windows进程以将勒索软件毒株隐藏起来等。更具体地说,Beta666qqz病毒会创建以下Windows注册表项:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ DisableAntiSpyware

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ Real-Time Protection \ DisableBehaviorMonitoring

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ Real-Time Protection \ DisableOnAccessProtection

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ Real-Time Protection \ DisableRealtimeMonitoring

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services \ MaxDisconnectionTime

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services \ MaxIdleTime

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ HomeGroup \ DisableHomeGroup

因此,内置Windows保护功能和第三方AV工具都无法运行。此外,由于恶意的PowerShell命令,受害者将无法恢复.Globeimposter-Beta666qqz文件,该命令会自动删除所有卷影副本。:

  • C:\ Documents and Settings \ Administrator \ AppData

  • C:\ Documents and Settings \ Administrator \ Application Data

  • C:\ Documents and Settings \ Administrator \ Contacts

  • C:\ Documents and Settings \ Administrator \ Cookies

  • C:\ Documents and Settings \ Administrator \ Desktop

  • C:\ Documents and Settings \ Administrator \ Documents

  • C:\ Documents and Settings \ Administrator \ Downloads

与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的,均可以恢复处理:

.Globeimposter-Alpha865qqz

.Globeimposter-Beta865qqz

.Globeimposter-Delta865qqz

.Globeimposter-Epsilon865qqz

.Globeimposter-Gamma865qqz

.Globeimposter-Zeta865qqz

666qqz

.Globeimposter-Alpha666qqz

.Globeimposter-Beta666qqz

.Globeimposter-Delta666qqz

.Globeimposter-Epsilon666qqz

.Globeimposter-Gamma666qqz

.Globeimposter-Zeta666qqz

.GlobeImposter-Beta666qqz勒索病毒是如何传播感染的?

经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

??? 关闭远程桌面,或者修改默认用户administrator

共享设置

??? 检查是否只有共享出去的文件被加密。?

软件漏洞

??? 根据系统环境,针对性进行排查,例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。


二、中了.Globeimposter-Beta666qqz后缀勒索病毒文件怎么恢复?

此后缀文件的修复成功率大概在95%~100%之间。
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具,但是希望很渺茫。
2.如果文件急需,可以咨询我们的技术服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。
3.幸运的是,如果只需要单独恢复数据库文件,这个病毒的中毒数据库文件可以修复率达到95%~99%之间,但是需要十分专业的修复技术进行提取方可完成,具体可以咨询技术服务号(shujuxf)。


三、恢复案例介绍:

1. 被加密数据情况

两台服务器,被加密的文件数据量一共16万+个,数据量约600G。

2. 数据恢复完成情况

数据完成恢复,16万个被加密,只有12个文件未恢复,都属于软件安装包里的无用文件,恢复率等于100%。

3. 恢复工期

? ? ? ?两台服务器,我们团队在收到客户当天晚上下单,立马安排工程师驱车几百公里到客户现场开始执行恢复,最终于次日中午完成了全部数据的恢复,耗时12小时。

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-07-13 17:54:04  更:2021-07-13 17:54:54 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 16:23:15-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码