目錄

前言：案例介紹

第一。什么是鎖定威脅病毒？

其次。如何恢復(fù)鎖定后綴勒索病毒文件？

三、恢復(fù)案例介紹：

1.加密的數(shù)據(jù)情況

2.數(shù)據(jù)恢復(fù)完成

3.恢復(fù)工期

預(yù)防勒索病毒-日常保護(hù)建議：

前言：案例介紹

最近，91數(shù)據(jù)恢復(fù)小組發(fā)現(xiàn)，上周受到勒索病毒攻擊的公司的服務(wù)器、服務(wù)器的SQL數(shù)據(jù)庫(kù)加密鎖定、軟件無法正常啟動(dòng)、庫(kù)文件名也與攻擊者的贖金信息…后綴，91數(shù)據(jù)恢復(fù)團(tuán)隊(duì)幫助數(shù)據(jù)恢復(fù)，經(jīng)過91數(shù)據(jù)恢復(fù)工程師的測(cè)試分析，最終確定數(shù)據(jù)恢復(fù)方案，分秒必爭(zhēng)。

---

一、什么是.locked勒索病毒？

.locked病毒是一種基于文件勒索病毒代碼的加密病毒，隸屬于國(guó)外知名的TellYouThePass勒索病毒家族。這個(gè)病毒已在去年底的主動(dòng)攻擊中被發(fā)現(xiàn)。

.locked勒索病毒以某種方式進(jìn)入計(jì)算機(jī)后，會(huì)更改Windows注冊(cè)表、刪除卷影副本、打開/寫入/復(fù)制系統(tǒng)文件、生成后臺(tái)運(yùn)行的進(jìn)程、加載各種模塊等。一旦在入侵后電腦系統(tǒng)上執(zhí)行加密，locked并在文件名后附加“ .locked ”擴(kuò)展名。例如，最初標(biāo)題為“ 1.jpg ”的文件顯示為“ 1.locked ”，“ 2.jpg ”顯示為“ 2.locked ”，依此類推。locked還創(chuàng)建了一個(gè)名為“ README.html ”的說明文件。

萬一不幸感染了這個(gè)勒索病毒，您可添加我們的技術(shù)服務(wù)號(hào)（sjhf91）進(jìn)行免費(fèi)咨詢獲取數(shù)據(jù)恢復(fù)的相關(guān)幫助。

.locked勒索病毒是如何傳播感染的？

經(jīng)過分析多家公司中毒后的機(jī)器環(huán)境判斷，該勒索病毒主要是利用2021年12月爆發(fā)的史詩(shī)級(jí)漏洞log4j進(jìn)行入侵加密。

Log4j 是幾乎每個(gè) Java 應(yīng)用程序或軟件中都包含的無處不在的日志記錄工具，所以務(wù)必請(qǐng)企業(yè)檢查服務(wù)器上的各軟件、應(yīng)用程序、網(wǎng)站是否已經(jīng)升級(jí)修復(fù)該漏洞。

---

二、中了.locked后綴勒索病毒文件怎么恢復(fù)？

此后綴病毒文件由于加密算法問題，每臺(tái)感染的電腦服務(wù)器文件都不一樣，需要獨(dú)立檢測(cè)與分析中毒文件的病毒特征與加密情況，才能確定最適合的恢復(fù)方案。

考慮到數(shù)據(jù)恢復(fù)需要的時(shí)間、成本、風(fēng)險(xiǎn)等因素，建議如果數(shù)據(jù)不太重要，建議直接全盤掃描殺毒后全盤格式化重裝系統(tǒng)，后續(xù)做好系統(tǒng)安全防護(hù)工作即可。如果受感染的數(shù)據(jù)確實(shí)有恢復(fù)的價(jià)值與必要性，可添加我們的技術(shù)服務(wù)號(hào)（sjhf91）免費(fèi)咨詢獲取數(shù)據(jù)恢復(fù)的相關(guān)幫助。

---

三、恢復(fù)案例介紹：

1. 被加密數(shù)據(jù)情況

一臺(tái)公司服務(wù)器，需要恢復(fù)的數(shù)據(jù)51萬個(gè)+，主要恢復(fù)oracle數(shù)據(jù)庫(kù)的DBF文件。

編輯

2. 數(shù)據(jù)恢復(fù)完成情況

數(shù)據(jù)完成恢復(fù)，客戶所需的所有文件均已成功恢復(fù)，恢復(fù)率等于100%。

編輯

預(yù)防勒索病毒-日常防護(hù)建議：

預(yù)防遠(yuǎn)比救援重要，所以為了避免出現(xiàn)此類事件，強(qiáng)烈建議大家日常做好以下防護(hù)措施：

1．多臺(tái)機(jī)器，不要使用相同的賬號(hào)和口令，以免出現(xiàn)“一臺(tái)淪陷，全網(wǎng)癱瘓”的慘狀；

2．登錄口令要有足夠的長(zhǎng)度和復(fù)雜性，并定期更換登錄口令；

3．嚴(yán)格控制共享文件夾權(quán)限，在需要共享數(shù)據(jù)的部分，盡可能的多采取云協(xié)作的方式。

4．及時(shí)修補(bǔ)系統(tǒng)漏洞，同時(shí)不要忽略各種常用服務(wù)的安全補(bǔ)丁。

5．關(guān)閉非必要的服務(wù)和端口如135、139、445、3389等高危端口。

6．備份備份備份！?。≈匾Y料一定要定期隔離備份。進(jìn)行RAID備份、多機(jī)異地備份、混合云備份，對(duì)于涉及到機(jī)密或重要的文件建議選擇多種方式來備份；

7．提高安全意識(shí)，不隨意點(diǎn)擊陌生鏈接、來源不明的郵件附件、陌生人通過即時(shí)通訊軟件發(fā)送的文件，在點(diǎn)擊或運(yùn)行前進(jìn)行安全掃描，盡量從安全可信的渠道下載和安裝軟件；

8．安裝專業(yè)的安全防護(hù)軟件并確保安全監(jiān)控正常開啟并運(yùn)行，及時(shí)對(duì)安全軟件進(jìn)行更新。