5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
目录5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
前言:简介5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
一、什么是.FARGO3勒索病毒?5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
二、中了.FARGO3后缀勒索病毒文件怎么恢复?5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
三、恢复案例介绍:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
四、系统安全防护措施建议:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
前言:简介
近日, 我们收到有企业受到 .FARGO3勒索病毒的加密攻击求助。该病毒主要针对企业的Web应用和数据库服务器发起攻击,攻击者一直在使用 FARGO 勒索软件(也称为 Mallox 和 TargetCompany)攻击易受攻击的Microsoft SQL 服务器. FARGO 勒索软件感染始于使用 cmd.exe 和 powershell.exe 下载 .NET 文件,这有助于额外的恶意软件和储物柜检索,以及生成和执行负责进程和服务终止的 BAT 文件。当恶意软件执行恢复停用命令时,FARGO 勒索软件并未加密关键软件和目录,包括 Microsoft Windows 系统目录、Tor 浏览器、Internet Explorer、启动文件、调试日志文件和缩略图数据库,以及用户自定义和设置。然后使用“.Fargo3”重命名所有加密文件。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
之前短短1个月时间,这个病毒就升级了4代,从FARGO到FARGO2到FARGO3直到FARGO4,最后该勒索病毒组织选择持续使用.FARGO3后缀,让我们来看看这个后缀的入侵与加密的方式。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
如果不幸感染了这个勒索病毒,您可添加我们的数据恢复服务号(shujuxf)免费咨询获取数据恢复的相关帮助。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
一、什么是.FARGO3勒索病毒?
我们发现,.FARGO3是近期比较流行的勒索软件之一,主要针对 Microsoft SQL 服务器。勒索软件感染首先使用 powershell.exe 和 cmd.exe 将 .NET 文件下载到受感染的机器上。在有效负载获取其他恶意软件后,.BAT 文件会终止某些进程和服务。为确保企业无法恢复其数据,FARGO 会在启动加密之前执行恢复停用命令并终止进程。 加密完成后,FARGO 使用“.Fargo3”扩展名重命名锁定的文件。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
策略:初始访问和持久性5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1078 有效账户5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3攻击者使用通过暴力攻击获得的凭据获得对目标机器的初始访问权限。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
战术:执行5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1059 命令和脚本解释器5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
初次访问后,.FARGO3攻击者会将其他恶意软件转移到受感染的网络。该恶意软件生成并执行 BAT 文件以关闭某些进程和服务。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
vssadmin.exe 删除阴影 /all /quiet bcdedit /set {current} bootstatuspolicy ignoreallfailures bcdedit /set {current} recoveryenabled no5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
示例 1:用于禁止系统恢复的命令 [3]5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
fdhost.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
msmdsrv.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
oracle.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
sqlwrite.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
fdlauncher.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
mysql.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
ReportingServicesService.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
MsDtsSrvr.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
ntdbsmgr.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
sqlserv.exe5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
表 3:.FARGO3攻击者关闭的进程和服务列表5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
策略:权限提升5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1134 访问令牌操作5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
FARGO组使用secedit.exe为其进程分配“ SeDebugPrivilege ”和“ SeTakeOwnershipPrivilege ”。此方法通常用于提升已分配进程的权限。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
战术:防御规避5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1055 工艺注入5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3勒索病毒通过进程注入到已运行的名为AppLaunch.exe的进程中执行。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1112 修改注册表5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3勒索病毒删除了流行的勒索软件保护工具 Raccine 的注册表项。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1562.001 削弱防御:禁用或修改工具5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3勒索病毒删除以下注册表项以禁止使用vssadmin.exe、wmic.exe、wbadmin.exe、bcdedit.exe、powershell.exe、diskshadow.exe、net.exe和taskkil.exe。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
图像文件执行选项\ vssadmin.exe "5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
图像文件执行选项\ wmic.exe "5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
图像文件执行选项\ wbadmin.exe "5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
图像文件执行选项\ bcdedit.exe "5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
图像文件执行选项\ powershell.exe "5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
映像文件执行选项\ diskshadow.exe "5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
图像文件执行选项\ net.exe "5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
图像文件执行选项\ taskkill.exe "5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
策略:凭据访问5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1110蛮力5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3勒索病毒组织通过暴力破解和字典攻击以数据库服务器为目标,以获取管理不善的帐户凭据。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
战术:影响5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1486 数据加密影响5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3勒索病毒使用混合加密方法,通过 ChaCha20、AES-128 和 Curve25519 算法加密文件。加密后,加密文件会附加扩展名,例如 .Fargo、.Fargo2、Fargo3。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
T1490 抑制系统恢复5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3勒索病毒会删除卷影副本和其他恢复功能,以防止受害者恢复被盗和加密的文件。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3勒索病毒是如何传播感染的?5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
二、中了.FARGO3后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(shujuxf)进行免费咨询获取数据恢复的相关帮助。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
三、恢复案例介绍:
1. 被加密数据情况5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
一台服务器,被加密的文件有数千个,主要是恢复业务数据库文件。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
2. 数据恢复完成情况5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
数据完成恢复,客户所需的全部文件均已成功恢复,恢复率等于100%。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
四、系统安全防护措施建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
⑦ 尽量关闭不必要的文件共享。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3后缀病毒勒索信RECOVERY FILES.txt说明文件内容:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
YOUR FILES ARE ENCRYPTED !!!5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
TO DECRYPT, FOLLOW THE INSTRUCTIONS:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
To recover data you need decrypt tool.5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
To get the decrypt tool you should:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
1.In the letter include your personal ID! Send me this ID in your first email to me!5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
4.We can decrypt few files in quality the evidence that we have the decoder.5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
Do not rename, do not use third-party software or the data will be permanently damaged5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
CONTACT US:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
mallox@stealthypost.net5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
If first email will not reply in 24 hours then contact with reserve address:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
recohelper@cock.li5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
YOUR PERSONAL ID:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的:5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.devicZz勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.consultransom勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.mallox勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.bozon勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.consultraskey-F-XXXXXX5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.consultraskey-R-XXXXXX5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.consultraskey-G-XXXXXX5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.consultraskey勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.elmorenolan29勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.bozon3勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO2勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO3勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
.FARGO4勒索病毒5UK91数据恢复-勒索病毒数据恢复专家,360/mallox/halo/L0CK3D/devos/locked/mkp
