原标题:【数据恢复案例】合肥某公司服务器感染.lockbit勒索病毒紧急恢复
目录
前言:案例简介
一、什么是.lockbit勒索病毒?
二、中了.lockbit后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
1. 被加密数据情况
2. 数据恢复完成情况
3. 数据恢复工期
前言:案例简介
近日,91数据恢复团队接到合肥某公司的求助,该公司的服务器遭遇了新型勒索病毒lockbit2.0的攻击,服务器上百个的SQL数据库被加密锁定,软件无法正常启动,全部文件名也被篡改添加了攻击者的赎金信息及.lockbit后缀,急需91数据恢复团队帮忙恢复数据,经91数据恢复工程师检测分析,最终确定数据恢复方案,并争分夺秒帮助客户完成恢复数据,数据恢复率达99.99%+,获得了客户高度好评。
一、什么是.lockbit勒索病毒?
老牌勒索病毒LockBit升级为LockBit 2.0,并承诺通过名为“StealBit”的新工具提供市场上最快的数据上传速度,该工具还支持实时压缩和拖放功能,并且对安全工具保持隐藏。根据 LockBit 的声明,它可以在不到 20 分钟的时间内从受感染的系统下载 100 GB 的数据。
这对于勒索病毒攻击者来说非常重要,因为他们泄露数据的速度越快,在此过程中被用户发现和阻止的机会就越少。
文件感染了.lockbit勒索病毒,文件都被病毒加密并且在原来的文件名称后面附加了. lockbit。这种文件被加密了就无法使用了,目前没有通用的解密工具。但是因为数据库文件一般都比较大,所以这个勒索病毒的加密程序会采取部分块状方式加密,所以数据库文件是有机会通过数据修复的方法进行恢复。
所以感染了这个勒索病毒的数据库文件可以通过技术手段单独修复,修复率还比较高,修复技术水平高的可以达到95%以上,甚至100%,修复费用也远比交赎金低,但是这也是需要修复技术团队具备过硬的专业实力才可以达到的水准,否则容易导致数据库文件二次损坏。
也就是说这个勒索病毒的数据库加密文件,mdf、bak、dbf、dmp之类数据库的修复率很高,建议不要放弃。
感染.lockbit后缀勒索病毒建议立马做以下几件事情:
1.将感染病毒的断开互联网连接;
2.拔下所有存储设备;
3.注销云存储帐户;
4.关闭所有共享文件夹;
5.寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改,这将二次破坏文件内容,可能导致后期数据无法恢复。
.lockbit勒索病毒是如何传播感染的?
经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
远程桌面口令爆破
关闭远程桌面,或者修改默认用户administrator
共享设置
检查是否只有共享出去的文件被加密。
激活/破解
检查中招之前是否有下载未知激活工具或者破解软件。
僵尸网络
僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马,可通过使用杀毒软件进行查杀进行判断。
第三方账户
检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。
二、中了.lockbit后缀勒索病毒文件怎么恢复?
此后缀文件的修复成功率大概在95%~100%之间。
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具,但是希望很渺茫。
2.如果文件急需,可以添加服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。
3.幸运的是,如果只需要单独恢复数据库文件,这个病毒的中毒数据库文件可以修复率达到98%~100%之间,但是需要十分专业的修复技术进行提取方可完成,具体可以咨询我们的技术服务号(shujuxf)。
三、恢复案例介绍:
1. 被加密数据情况
一台服务器,被加密的文件数据量约188万+个,数据量大约1.7T+,属于超大数据量。
2. 数据恢复完成情况
数据完成恢复,一共188万多个被加密文件,只有19个文件未恢复,属于无关紧要的文件,恢复率等于99.99%+。恢复完成的文件均可以正常打开及使用。
3. 数据恢复工期
责任编辑: