ITLOCK勒索病毒刪除及數據庫恢復
阿新 • • 發佈:2019-03-25
proc ted alt sqlite col term zip mdb 數據庫恢復 近日,安全實驗室截獲了Matrix勒索病毒itlock變種樣本。該病毒通過RDP爆破,在成功後,還將進行內網共享文件夾掃描,對內網主機進行感染。Matrix勒索病毒變種采用RSA + Salsa20加密算法分別對密鑰和文件進行加密。此外,病毒還將搜集計算機信息上傳至C2服務器。據悉,已有大量主機受到感染,其中不乏政企單位。
受影響文件類型:
‘MDF’,‘NDF’,‘LDF’,‘MYD’,‘EQL’,‘SQL’,‘VHD’,‘SQLITE’,‘SQLITE3’,‘SQLITEDB’,‘HWP’,‘HWT’,‘HML’,‘HWDT’,‘HWPX’,‘CELL’,‘NXL’,‘HCDT’,‘NXT’,‘SHOW’,‘HPT’, ‘HSDT’,‘XLSX’,‘XLS’,‘DOCX’,‘DOC’,‘DOT’,‘DOTX’,‘ODT’,‘ODS’,‘BAK’,‘TIB’,‘DBS’,‘DB’,‘DBK’,‘DB2’,‘DB3’,‘DBC’,‘DT’,‘DBS’,‘DBF’,‘DBX’,‘MDB’,‘SDF’,‘NDF’,‘NS2’, ‘NS3’,‘NS4’,‘NSF’,‘ACCDB’,‘VPD’,‘DWG’,‘CDR’,‘PDF’,‘JPG’,‘JPEG’,‘PSD’,‘ZIP’,‘RAR’,‘7Z’,‘TAR’
exe、cmd、vbs、lnk、bat、rtf、bmp、tmp
勒索郵箱:
[email protected]
C2域名:testercmd.in
影響平臺:Windows操作系統
加密後文件格式:勒索郵箱 + 隨機序列號 + .ITLOCK後綴,例:[[email protected]].63Nv1K7q-xCeWZJaH.ITLOCK
受影響文件類型:
‘MDF’,‘NDF’,‘LDF’,‘MYD’,‘EQL’,‘SQL’,‘VHD’,‘SQLITE’,‘SQLITE3’,‘SQLITEDB’,‘HWP’,‘HWT’,‘HML’,‘HWDT’,‘HWPX’,‘CELL’,‘NXL’,‘HCDT’,‘NXT’,‘SHOW’,‘HPT’, ‘HSDT’,‘XLSX’,‘XLS’,‘DOCX’,‘DOC’,‘DOT’,‘DOTX’,‘ODT’,‘ODS’,‘BAK’,‘TIB’,‘DBS’,‘DB’,‘DBK’,‘DB2’,‘DB3’,‘DBC’,‘DT’,‘DBS’,‘DBF’,‘DBX’,‘MDB’,‘SDF’,‘NDF’,‘NS2’, ‘NS3’,‘NS4’,‘NSF’,‘ACCDB’,‘VPD’,‘DWG’,‘CDR’,‘PDF’,‘JPG’,‘JPEG’,‘PSD’,‘ZIP’,‘RAR’,‘7Z’,‘TAR’
exe、cmd、vbs、lnk、bat、rtf、bmp、tmp
該Matrix勒索病毒家族主要由RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播。為防禦病毒,用戶除了養成良好的行為習慣,不要點擊不明郵件附件,不從不明網站下載軟件外還需要引入相應的服務器防護軟件。
ITLOCK後綴勒索病毒是今年新出現的病毒,這種病毒索要贖金一般每臺機器在3000歐元,由此可以推斷此種病毒應該是歐洲犯罪分子所為,這種病毒制造者及其猖狂且讓人痛恨,一般的勒索病毒加密文件只存在一個病毒體,除非有共享文件。但是這種病毒會隨機出現兩個甚至是多個病毒體,這樣就會造成,不同的文件會被不通的病原體加密。
ITLOCK勒索病毒刪除及數據庫恢復