XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D
XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D
XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D
XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D
前言：简介

        .locked后缀勒索病毒是2021年12月国外知名的勒索病毒家族开始传播的新型变种病毒，自去年12月该病毒爆发以来，我们陆续有接到被该病毒感染加密数据企业咨询与求助，自病毒爆发以来，我们团队也不断研究该病毒的加密数据，发现攻击者渗透了其内部网络后，会用恶意加密软件加密服务器的文件。被感染的机器中的所有文件都被添加了“.locked”后缀，并且无法正常打开，通过后缀可确定该病毒为TellYouThePass勒索病毒家族旗下。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。接下来我们先来了解下.locked勒索病毒。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

---

XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D
一、什么是.locked勒索病毒？

        .locked是一种勒索病毒类型的恶意软件，它通过木马或者机器的软件或网站上的漏洞渗透到系统中。一旦渗透成功，该恶意软件就会加密存储在系统上的各种文件。为此，.locked勒索病毒使用 AES-256 加密算法，因此在加密期间会生成公钥和私钥。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

        .locked勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

        .locked勒索病毒将扫描您的计算机以查找图像、视频以及重要的生产力文档和文件，例如 .doc、.docx、.xls、.pdf。当检测到这些文件时，勒索软件会对它们进行加密并将其扩展名更改为“.locked”，这样您就无法再打开它们。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

 XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

.locked勒索病毒是如何传播感染的？XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

        经过分析中毒后的机器环境判断，.locked勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

软件或者网站漏洞XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

    根据系统环境，针对性进行排查，例如常见被攻击环境Java语言编写的软件或者网站程序等。查 web 日志、排查域控与设备补丁情况等。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

远程桌面口令爆破XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

    检查 Windows 日志中的安全日志以及防火墙日志等XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

共享设置XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

    检查是否只有共享出去的文件被加密。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

---

XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D
二、中了.locked后缀勒索病毒文件怎么恢复？

        此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

        考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

---

XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D
三、恢复案例介绍：

1. 被加密数据情况

一台服务器，主要恢复一个最重要的数据库文件，数据库大小为10G+。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

 XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

 XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

2. 数据恢复完成情况

数据当天完成恢复，数据库文件均已恢复，数据恢复率等于100%。恢复完成的库文件均可以正常打开及使用。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

 XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

 XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

1、安全规划 网络架构XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

业务、数据、服务分离，不同部门与区域之间通过 VLAN 和子网分 离，减少因为单点沦陷造成大范围的网络受到攻击。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

2、内外网隔离XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

合理设置 DMZ 区域，对外提供服务的设备要做严格管控。减少企业 被外部攻击的暴露面。对外暴露机器可通过虚拟化部署，定期做快 照备份等方式减少损失。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

3、安全设备部署XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

在企业终端和网络关键节点部署安全设备，并日常排查设备告警情况。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

4、权限控制XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

包括业务流程权限与人员账户权限都应该做好控制，如控制共享网络权限，原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

5、数据备份保护XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D

对关键数据和业务系统做备份，如离线备份，异地备份，云备份等，避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。尽量做到多方式备份。XIT91数据恢复-勒索病毒数据恢复专家,hmallox/rmallox/baxia/bixi/wstop/mkp/SRC/D