设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 唐人街茶馆 【数据恢复】最新.FARGO后缀勒索病毒正在活跃传播 ...
回复 发帖
返回列表 发新帖
开启左侧

[闲聊] 【数据恢复】最新.FARGO后缀勒索病毒正在活跃传播

[复制链接]
17044 0
Ivanka囧 发表于 2022-8-29 17:43:54 | 只看该作者 打印 上一主题 下一主题
 
【数据恢复】最新.FARGO后缀勒索病毒正在活跃传播 第1张图片


前言:简介

        近日,国内某企业反馈其内部几乎所有的服务器上的文件都被加密无法打开,这也导致了部分业务的瘫痪。据了解,加密文件的拓展名为“.FARGO”。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Mallox勒索病毒家族旗下的最新病毒之FARGO病毒。该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动运行加密程序。同时受害者机器上被发现加密工具,从工具看该勒索病毒传播想通过抓取密码的方式获取更多机器的密码。
        如果不幸感染了这个勒索病毒,您可添加我们的数据恢复服务号(sjhf91)免费咨询获取数据恢复的相关帮助。
    下面我们来了解看看这个.FARGO后缀勒索病毒。

一、什么是.FARGO勒索病毒?
        我们发现,.FARGO是一个勒索病毒类型程序的名称。当我们在我们的测试系统上启动一个样本时,它会加密文件并在文件名后附加“ .FARGO”扩展名。例如,最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.FARGO”,“ 2.jpg ”显示为“ 2.jpg.FARGO”,依此类推。
        无论采用何种传播方法,攻击通常都以相同的方式进行。.FARGO勒索病毒会扫描用户的计算机以定位他们的数据。接下来,数据锁定木马将触发其加密过程。.FARGO勒索病毒应用加密算法来安全地锁定所有目标文件。所有经过.FARGO勒索病毒加密过程的文件都将更改其名称,因为该木马添加了一个.FARGO对其名称的扩展。正如您从.FARGO勒索病毒的扩展中看到的那样,这种病毒会为每台机器生成了一个新的唯一 ID。这有助于攻击者区分已成为其数据锁定木马受害者的各种用户。

.FARGO勒索病毒是如何传播感染的?
        经过我们分析中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵。


【数据恢复】最新.FARGO后缀勒索病毒正在活跃传播 第2张图片


编辑
二、中了.[geerban@emAIl.tg].Devos后缀勒索病毒文件怎么恢复?
        此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的修复方案。
        考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。

三、恢复案例介绍:
1. 被加密数据情况
一台公司服务器,需要恢复的数据15万个+,核心是需要恢复SQL数据库文件。


【数据恢复】最新.FARGO后缀勒索病毒正在活跃传播 第3张图片



【数据恢复】最新.FARGO后缀勒索病毒正在活跃传播 第4张图片


2. 数据恢复完成情况
数据完成恢复,15万+个文件均全部100%恢复,数据库文件也100%恢复。恢复完成的文件均可以正常打开及使用。


【数据恢复】最新.FARGO后缀勒索病毒正在活跃传播 第5张图片



【数据恢复】最新.FARGO后缀勒索病毒正在活跃传播 第6张图片


四、系统安全防护措施建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。

.FARGO后缀病毒勒索信RECOVERY INFORMATION.txt说明文件内容:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
http://1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
Do not rename, do not use third-party software or the data will be permanently damaged
CONTACT US:
mallox@stealthypost.net
If first email will not reply in 24 hours then contact with reserve address:
recohelper@cock.li
YOUR PERSONAL ID: 6D3E63CEB1674

与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的,我们团队均可以恢复处理:
.devicZz
.consultransom
.mallox
.brg
.bozon
.maxoll-ID号
.consultraskey-ID号
.elmorenolan29
.bozon3
.FARGO


上一篇:31省份昨日新增本土301+1255 BA.2.76变异株不到2天传播1代!
下一篇:8 月 27 日山西太原加密常态化核酸检测频次 采样点周末不休 ...
标签:几乎所有数据恢复所有的服务器无法
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Ivanka囧白金会员

0关注

8粉丝

457帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-4-27 14:34