Phobos家族3月最新变种病毒.elder后缀勒索病毒卷土重来

. elder后缀勒索病毒是今年国外知名勒索病毒家族的新型传播病毒，最近已经接到大量的公司咨询与求助，请各公司务必加强防范。

幸运的是，目前此后缀的数据恢复率较高，有较多的成功恢复案例，有需要的可以联系91数据恢复团队咨询，下面我们来分析看看这个.elder后缀勒索病毒。

什么是elder勒索病毒？

Elder病毒是一种基于Phobos勒索软件代码的加密病毒。在主动***活动中已经发现了这种威胁。有几种分发技术可用于在目标操作系统上传送恶意文件，例如，垃圾邮件，损坏的软件安装程序，洪流文件，伪造的软件更新通知和被黑的网站。

***很可能将垃圾邮件押注为主要传播渠道。试图在计算机系统上分发恶意软件的垃圾邮件或垃圾邮件电子邮件具有几个鲜明的特征。他们经常冒充知名公司的代表。此外，它们包含文件附件或可单击的URL地址，或两者都包含。他们的文字经常需要立即采取行动。

一旦在目标系统上执行了Phobos Elder勒索软件的有效负载，就会触发***的第一阶段。一旦Elder文件病毒进行了初步的恶意修改，它便可以激活内置的密码模块，从而通过该模块设置数据加密过程的开始。在***的此阶段，Elder病毒会扫描所有系统驱动器以寻找目标文件.

勒索软件借助完善的加密算法来转换文件代码。不幸的是，加密过程破坏了有价值的文件并限制了对其数据的访问。损坏的文件带有[Stocklock@airmail.cc] .elder扩展名标记。所存储的数据仍然完全不可访问。

同类的病毒后缀还有：

威胁摘要：
姓名	elder病毒
威胁类型	勒索软件，加密病毒
加密文件扩展名	.elder（此勒索软件还会在文件名后附加受害者的唯一ID和开发者的电子邮件地址）。
索要赎金	info.hta（HTML应用程序，将打开一个弹出窗口），info.txt
网络犯罪联系	stocklock @ airmail.cc，stocklock @ firemail.cc，salirere.don @ mailfence.com，scrappycrabby @ protonmail.com，pbs@criptext.com
检测名称	Avast（Win32：Malware-gen），BitDefender（Trojan.Ransom.Phobos.F），ESET-NOD32（Win32 / Filecoder.Phobos.C的变体），卡巴斯基（HEUR：Trojan.Win32.Generic）
症状	无法打开计算机上存储的文件，以前的功能文件现在具有不同的扩展名（例如，my.docx.locked）。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金（通常以比特币支付）以解锁您的文件。
分配方式	受感染的电子邮件附件（宏），洪流网站，恶意广告。
损害	所有文件均已加密，未经勒索无法打开。可以与勒索软件感染一起安装其他窃取密码的***和恶意软件感染。

elder勒索病毒是如何传播感染的？

***，垃圾邮件活动，不可靠的下载源，软件“破解”工具和伪造的更新程序通常会扩散勒索软件和其他恶意软件。***是旨在引起链条感染的恶意程序（即，它们下载/安装其他恶意软件），还有就是远程桌面口令爆破。

中了.elder后缀的BBB家族勒索病毒文件怎么恢复？

此后缀文件的修复成功率大概在90%~99%之间。

1.如果文件不急需，可以先备份等***被抓或良心发现，自行发布解密工具

2.如果文件急需，可以添加服务号（sjhf91），发送文件样本进行免费咨询数据恢复方案。

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。

更多相关文章