处理类似Globeimposter-Alpha865qqz勒索病毒文件恢复方案和666qqz病毒恢复

Globeimposter-Alpha865qqz和666qqz这两种病毒文件都属于GlobeImposter(十二主神/十二生肖)系列勒索病毒加密软件。

旧版:Globeimposter-***865qqz ,这个后缀的病毒文件没办法通过技术修复,因为加密100%完整,无法修,只能解密恢复处理办法。(具体方案后面介绍)

新变体:Globeimposter-***666qqz,这个后缀的病毒文件属于隔断加密规则,即只是文件部分内容被加密,可以修复,具体得分析加密情况。(具体方案后面介绍)

GlobeImposter(十二主神/十二生肖)家族的勒索病毒后缀有很多,比较常见的:
.Globeimposter-Alpha865qqz
.Globeimposter-Alpha666qqz
.Globeimposter-Gamma666qqz
.Globeimposter-Beta666qqz
.Globeimposter-Zeta666qqz

病毒感染途径
1. 网络钓鱼电子邮件:单击嵌入在电子邮件中的链接,该链接将重定向到恶意网页。
2. 电子邮件附件:打开电子邮件附件并启用恶意宏;或下载嵌入了远程访问木_马(RAT)的文档;或下载包含恶意JavaScript或Windows脚本宿主(WSH)文件的ZIP文件。
3. 社交媒体:单击社交媒体帖子,即时通讯聊天等上的恶意链接。
4. 恶意广告:单击带有恶意代码的广告网站。
5. 感染程序:安装包含恶意代码的应用程序或程序。
6. 偷渡感染:访问不安全,可疑或伪造的网页;或打开或关闭弹出窗口。注意:如果将恶意JavaScript代码注入网页内容中,则可能会破坏网页。
7. 重定向系统(TDS):单击合法网关网页上的链接,该链接会根据用户的地理位置,浏览器,操作系统或其他过滤器将用户重定向到恶意站点。
8. 自我传播:通过网络和USB驱动器将恶意代码传播到其他设备。
9. 系统漏洞:通过系统漏洞进入windows

加密文件,处理方案,有两个:

方案 1 只针对Sql Server或Oracle数据库文件进行修复,修复率在90%-99%。

方案 2 想办法解密恢复数据库和其他文件,文件内容恢复100%。

方案1手段:大部分病毒加密文件内容都是部分加密,数据库文件的结构特征,是可以通过修复技术,提取未加密的部分进行重组,但是市面上很多都是利用修库工具处理,所以修复率很难到底最佳效果。对于数据库修复有丰富经验的人会知道,其实碎片提取可以人工做得更精细,很多时候能达到100%修复。

方案2手段:100%解密恢复电脑中所有的文件,按照技术推论可以进行暴力破解,但是破解的时间需要很多,几乎没有人会愿意等待那么久的时间,最稳妥的方案就是通过样本评估获得秘钥来批量解密恢复处理。

根据不同的感染环境和需求会有更合适的处理恢复方案技术v服务号shuju187,如果你的电脑中了病毒,第一时间是断网(拔网线)或关机,来保护数据。

因为中病毒的数据也是值得保护的(如果需要恢复的话)。很多人觉得文件被加密的无所谓了,但是往往会出现更多意外,导致文件无法恢复,或者代价更高,这种案例数不胜数

还有不要尝试去改文件的病毒名称,来还原文件,这是没用的,病毒已经通过算法加密了文件内容,无法正常打开的。而且这种行为还会带来二次加密的风险。

如果文件不重要,可以格式化重装系统。


©著作权归作者所有:来自51CTO博客作者破壳数据1的原创作品,如需转载,请注明出处,否则将追究法律责任