前言：案例简介

? ? ? ??广东某公司服务器感染了后缀.Globeimposter-Beta666qqz勒索病毒，公司的2台服务器全部中毒，文件被全部加密，急需数据恢复，否则公司多年的业务设计图纸都毁于一旦，每张设计图纸的价值都不菲，公司业务将受到重挫，经联系91数据恢复工程师远程查看，并沟通协商了相应的解决方案，立即安排工程师驱车几百公里进行上门完成数据恢复工作，经过一个通宵的紧急施工恢复，最终于次日中午完成全部数据恢复。
? ? ? ? 近日，91数据恢复团队接到多起公司的求助，这些公司的服务器都因中毒感染.Globeimposter-Beta666qqz后缀勒索病毒而导致公司业务停摆或耽误，.Globeimposter-Beta666qqz后缀勒索病毒突然再次肆虐传播，这个勒索病毒究竟是什么来头？让91数据恢复团队分析看看。

一、什么是.Globeimposter-Beta666qqz勒索病毒？

????????.Globeimposter-Beta666qqz是GlobeImposter家族勒索病毒的恶意病毒?，感染了该恶意软件的系统已对其数据进行了加密，并且用户收到了对解密工具/软件的赎金要求。在加密过程中，所有受影响的文件都将附加扩展名“?.Globeimposter-Beta666qqz?”。例如，加密后，最初名为“?1.jpg?”的文件将显示为“?1.jpg.Globeimposter-Beta666qqz?”。无论如何，强烈建议您不要与罪犯进行交流和/或与罪犯交钱。尽管满足了赎金的要求，但受害者通常仍未收到承诺的解密工具/软件。因此，他们遭受财务损失，其数据仍保持加密状态。

????????黑客通过远程桌面口令爆破获得对目标计算机的访问权限后，勒索软件开始运行恶意进程，这些进程负责禁用防病毒程序，消除某些启动进程，感染合法的Windows进程以将勒索软件毒株隐藏起来等。更具体地说，Beta666qqz病毒会创建以下Windows注册表项：

HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ DisableAntiSpyware
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ Real-Time Protection \ DisableBehaviorMonitoring
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ Real-Time Protection \ DisableOnAccessProtection
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ Real-Time Protection \ DisableRealtimeMonitoring
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services \ MaxDisconnectionTime
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services \ MaxIdleTime
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ HomeGroup \ DisableHomeGroup

因此，内置Windows保护功能和第三方AV工具都无法运行。此外，由于恶意的PowerShell命令，受害者将无法恢复.Globeimposter-Beta666qqz文件，该命令会自动删除所有卷影副本。：

C：\ Documents and Settings \ Administrator \ AppData
C：\ Documents and Settings \ Administrator \ Application Data
C：\ Documents and Settings \ Administrator \ Contacts
C：\ Documents and Settings \ Administrator \ Cookies
C：\ Documents and Settings \ Administrator \ Desktop
C：\ Documents and Settings \ Administrator \ Documents
C：\ Documents and Settings \ Administrator \ Downloads

与该病毒同类的后缀病毒还有以下各种后缀，都是同一个病毒家族的，均可以恢复处理：

.Globeimposter-Alpha865qqz

.Globeimposter-Beta865qqz

.Globeimposter-Delta865qqz

.Globeimposter-Epsilon865qqz

.Globeimposter-Gamma865qqz

.Globeimposter-Zeta865qqz

666qqz

.Globeimposter-Alpha666qqz

.Globeimposter-Beta666qqz

.Globeimposter-Delta666qqz

.Globeimposter-Epsilon666qqz

.Globeimposter-Gamma666qqz

.Globeimposter-Zeta666qqz

.GlobeImposter-Beta666qqz勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

??? 关闭远程桌面，或者修改默认用户administrator

共享设置

??? 检查是否只有共享出去的文件被加密。?

软件漏洞

??? 根据系统环境，针对性进行排查，例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。

二、中了.Globeimposter-Beta666qqz后缀勒索病毒文件怎么恢复？

此后缀文件的修复成功率大概在95%~100%之间。
1.如果文件不急需，可以先备份等黑客被抓或良心发现，自行发布解密工具，但是希望很渺茫。
2.如果文件急需，可以咨询我们的技术服务号（shujuxf），发送文件样本进行免费咨询数据恢复方案。
3.幸运的是，如果只需要单独恢复数据库文件，这个病毒的中毒数据库文件可以修复率达到95%~99%之间，但是需要十分专业的修复技术进行提取方可完成，具体可以咨询技术服务号（shujuxf）。