您好,欢迎访问这里是深圳市硕远科技有限公司!
戴尔服务器价格_IBM联想配置_浪潮代理-深圳市硕远科技有限公司
联系我们
戴尔服务器价格_IBM联想配置_浪潮代理-深圳市硕远科技有限公司
邮箱:2324898850@qq.com
电话:400-080-6079
地址:深圳市龙华区河背工业区108创业园A301
当前位置:主页 > 新闻动态 > 行业新闻 >

行业新闻

.EKING勒索病毒解密恢复 服务器中毒解密.EKING

发布时间:2022-04-24 22:00:05浏览次数:

近日 Phobos 勒索软件家族Eking勒索病毒较活跃,今天接到一个oracle数据库 勒索病毒加密的案例, 由于DBF文件被全加密,但是可以从加密的DMP备份文件恢复。可以解决问题。

下面是 该病毒的一些资料

Eking属于 Phobos 勒索软件家族。它对文件进行加密,重命名并生成大量勒索消息。Eking通过添加受害者的ID,decphob @ tuta.io电子邮件地址并在文件名后附加“ .eking ”扩展名来重命名文件。例如,它重命名“ 1.JPG ”到“ 1.jpg.id [1E857D00-2275] [decphob@tuta.io] .eking ”, “ 2.JPG ”到“ 2.jpg.id [1E857D00-2275 ]。[decphob@tuta.io] .eking ”,依此类推。它在弹出窗口中显示勒索消息(“ info.hta ”),并在文本文件中创建另一个勒索消息(“ info.txt ”)。

info.hta和info.txt勒索消息指出,受害者必须通过发送电子邮件至decphob@tuta.io或decphob@protonmail.com并等待进一步的指示来联系Eking的开发人员。如果受害者在24小时内未收到答复,则敦促他们通过提供的Tor网站链接与网络犯罪分子联系。它们还提供多达五个文件的免费解密,可以在支付解密费用之前将其发送给Eking的开发人员。不幸的是,没有其他工具可以解密Eking勒索软件破坏的文件-只有Eking的开发人员才拥有有效的解密工具。请注意,即使付款后,勒索软件开发人员也不会发送解密工具/密钥。因此,信任网络罪犯的受害者经常被骗。一般来说,恢复对由于勒索软件攻击而丢失的文件的访问的唯一方法是从备份中还原它们。从操作系统中卸载Eking将阻止进一步的加密,但是,即使删除了勒索软件,已经加密的文件仍然无法访问。

鼓励用户支付赎金以解密其泄露数据的消息的屏幕截图:




还有许多其他勒索软件感染的例子,包括 Koti,ZoNiSoNaL和MR.ROBOT。该软件对数据进行加密,并提供有关如何联系设计数据的网络罪犯,支付赎金和其他信息的说明。共同的区别是勒索软件用来锁定(加密)文件的解密工具/密钥和加密算法(对称或非对称)的成本。在大多数情况下,仅当勒索软件包含错误/缺陷且不完整时,才可以进行免费解密。不幸的是,这种情况很少见。因此,将数据备份到远程服务器(例如Cloud)和/或未插拔的存储设备上非常重要。

勒索软件如何感染我的计算机?

网络罪犯用于传播勒索软件和其他恶意软件的一些最常见方法是通过垃圾邮件活动,假冒软件更新程序,不可信的下载渠道,非官方的软件激活工具和特洛伊木马。他们使用垃圾邮件活动发送包含恶意附件或旨在下载危险文件的网站链接的电子邮件。他们的主要目的是欺骗收件人打开(执行)恶意文件,然后安装恶意软件。这些文件通常是Microsoft Office文档,存档文件(ZIP,RAR),PDF文档,JavaScript文件以及诸如.exe之类的可执行文件。恶意软件还通过伪造的软件更新程序进行传播。通常,非官方的第三方更新工具不会更新/修复任何已安装的软件。他们只是通过利用过时的软件的错误/缺陷来安装恶意软件或感染系统。此外,不受信任的软件下载渠道也可以分发恶意软件。对等网络(例如torrent客户端,eMule,免费文件托管站点,免费软件下载网站和其他类似渠道)通常会导致恶意文件的下载。执行后,这些文件将使用恶意软件感染计算机。请注意,这些文件经常伪装成合法的和常规的。试图免费激活付费软件的人们使用软件“破解”程序,但是,它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序,则可能会造成其他破坏。免费软件下载网站和其他类似渠道通常会导致恶意文件的下载。执行后,这些文件将使用恶意软件感染计算机。请注意,这些文件经常伪装成合法的和常规的。试图免费激活付费软件的人们使用软件“破解”程序,但是,它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序,则可能会造成其他破坏。免费软件下载网站和其他类似渠道通常会导致恶意文件的下载。执行后,这些文件将使用恶意软件感染计算机。请注意,这些文件经常伪装成合法的和常规的。试图免费激活付费软件的人们使用软件“破解”程序,但是,它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序,则可能会造成其他破坏。这些程序供试图免费激活付费软件的人使用,但是,它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序,则可能会造成其他破坏。这些程序供试图免费激活付费软件的人使用,但是,它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序,则可能会造成其他破坏。

详情:
勒索病毒名字 Eking virus
类型 Ransomware, Crypto Virus, Files locker.
加密后的扩展名 .eking
赎金消息文本 info.hta and info.txt
邮件地址 decphob@tuta.io, decphob@protonmail.com, holylolly@airmail.cc, digistart@protonmail.com, greed_001@aol.com, helpmedecoding@airmail.cc, Black_Wayne@protonmail.com, Decryptdatafiles@protonmail.com, supp0rt@cock.li, quickrecovery05@firemail.cc, tsec3x777@protonmail.com, DECRYPTUNKNOWN@Protonmail.com, gluttony_001@aol.com, recoryfile@tutanota.com, ICQ@fartwetsquirrel, jerjis@tuta.io, holylolly@airmail.cc, pride_001@aol.com, kabura@firemail.cc, r4ns0m@tutanota.com, contactjoke@cock.li, moon4x4@tutanota.com, hublle@protonmail.com, clearcom@protonmail.com, chinadecrypt@fasthelpassia.com, paymantsystem@cock.li, Hubble77@tutanota.com, savemyself1@tutanota.com, qirapoo@firemail.cc, yoursjollyroger@cock, raboly@firemail.cc, eight20@protonmail.com, divevecufa@firemail.cc, cyvedira@firemail.cc, filedec@tutanota.com, crioso@protonmail.com, eleezcry@tutanota.com, HELPUNKNOWN@Tutanota.com, decrypt20@vpn.tg, kubura@firemail.cc, rodrigos@keemail.me, chadmad@ctemplar.com, chadmad@nuke.africa, dataencrypted@tutanota.com, itambuler@protonmail.com, itambuler@tutanota.com, dcrptfile@protonmail.com, filesdecrypt@aol.com, davidshelper@protonmail.com, reynoldmuren@tutanota.com, dacowe@firemail.cc, dozusopo@tutanota.com, subik099@tutanota.com, subik099@cock.li, trizvani@aol.com, trizvani@tutanota.com, datashop@list.ru, wugenaxu@firemail.cc, databack@airmail.cc, databack@firemail.cc, moonlight101@tutanota.com, moonlight10@mail.ee, fata52@cock.li, fata54@cock.li, phobos2020@cock.li, phobos2020@tutanota.com, xiaolinghelper@firemail.cc, redsnow911@protonmail.com, surpaking@tutanota.com, surpakings@mail.ee, btcunlock@airmail.cc, btcunlock@firemail.cc, anticrypt2020@aol.com, wiruxa@airmail.cc, yongloun@tutanota.com, anygrishevich@yandex.ru, alonesalem@keemail.me, alonesalem@protonmail.com, encrypted60@tutanota.com, cifrado60@tutanota.com, rantime@tuta.io, ransomtime@cock.li, opticodbestbad@aol.com, opticodbestbad@mail.ee, unlockdata@firemail.cc, onlyway@secmail.pro, jobiden1942@protonmail.com, jonneydep@protonmail.com, forumsystem@cock.li, forumsystem@techmail.info, sdx-2020@tutanota.com, sdx-20200@protonmail.com, encryption2020@aol.com, grootp2@protonmail.com, noobt56@protonmail.com, dragon.save@aol.com, dragon.save@yahoo.com, dragon.save@aol.com, drgreen1@keemail.me, drgreen2@protonmail.com, decryption24h@criptext.com, decryption24h@elude.in, fastwind@mail.ee, fastwind2@protonmail.com, newera@ctemplar.com, newera@tfwno.gf, johnsonz@keemail.me, johnsonz@cock.lu, pandora9@tuta.io, happy@gytmail.com, ghosttm@zohomail.com, falcon360@cock.li, tebook12@protonmail.com, rody_218@protonmail.com, erichhartmann_main@protonmail.com, erichhartmann_reserve@tuta.io, files@restore.ws, covidv19@tutanota.com, dtramp@tuta.io, lexus@gytmail.com, decrypt20@stealth.tg, decrypt20@firemail.cc, dowendowxxx@privatemail.com, ransom1999@tutanota.com, ransom2000@tutanota.com, hellook@gytmail.com, 1bmx1@tuta.io, ransomsophos@tutanota.com, dr.cryptor@secmail.pro, dr.cryptor@protonmail.com, lepuscrysupp@mail.ee, lepuscrysupp@cock.li, keydecryption@airmail.cc, 5559912@firemail.cc, infoback@criptext.com, infoback@mail.ee, datastore@outlookpro.net, getmydata@cock.li, in0x2@tutanota.com, in0x2@int.pl, ransomwaree2020@cock.li, ransomwaree2021@cock.li, ghiedksjdh6hd@cock.li, sdjhf4df@potronmail.com, harpia2019@aol.com, harpia2019@mailfence.com, unlockfile@firemail.cc, unlockfile@criptext.com, jennymombu@aol.com, jennymombu@firemail.cc, decryption24h@mailfence.com, ezfilesdec@tutanota.com, filesdecrypt@aol.com, helpme2021@aol.com, firmaverileri@bk.ru, sacura889@tutanota.com, sacura889@protonmail.com, anticrypt2021@aol.com, james2020m@aol.com, james2020m@cock.li, jackkarter@gmx.com, jackkarter@cock.li, maykeljakson@cock.li, maykeljakson@criptext.com, basani400@aol.com, basani400@mailfence.com, jonnylow@techmail.info, jonnylow@keemail.me, databankasi@bk.ru, crashonlycash@gmx.com, gracia154@tuta.io, gracia154@cock.li, help4rec@tutanota.com, help4dec@cock.li, coderunlocker@gmail.com, coderunlockerr@gmail.com, howrecover@tutanota.com, recover1@cock.li, mikolio@cock.li, mikolio@xmpp.jp, sharm777@aol.com, sharm777@protonmail.com, boomblack@tutanota.com, boomblack@cock.li, @helpsnow (Telegram), and decphob on Sonar
杀毒软件检测名称 Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.GenericKD.33855769), ESET-NOD32 (A Variant Of MSIL/GenKryptik.EKSC), Kaspersky (
HEUR:Trojan-PSW.MSIL.Agensla.gen), Full List Of Detections (VirusTotal)
进程 Battleships (its name may vary)
加密后的形式 Cannot open files stored on your computer, previously functional files now have a different extension (for example, my.docx.locked). A ransom demand message is displayed on your desktop. Cyber criminals demand payment of a ransom (usually in bitcoins) to unlock your files.
感染途径 Infected email attachments (macros), torrent websites, malicious ads.

400-080-6079