分析Globeimposter-Alpha666qqz、Alpha865qqz勒索病毒文件恢復

.Globeimposter-Alpha865qqz
.Globeimposter-Alpha666qqz
.Globeimposter-Gamma666qqz
.Globeimposter-Beta666qqz
.Globeimposter-Zeta666qqz

以上常見的勒索病毒文件，都屬於GlobeImposter（十二主神/十二生肖）系列勒索病毒加密軟件加密文件。

865qqz ，由於加密100%完整，沒法技術修，只能解密恢復處理。（具體處理後面介紹）

666qqz，屬於隔斷加密規則，能夠技術修復，具體得分析加密狀況。（具體處理後面介紹）

病毒感染途徑
1. 網絡釣魚電子郵件：單擊嵌入在電子郵件中的連接，該連接將重定向到惡意網頁。
2. 電子郵件附件：打開電子郵件附件並啓用惡意宏；或下載嵌入了遠程訪問木_馬（RAT）的文檔；或下載包含惡意JavaScript或Windows腳本宿主（WSH）文件的ZIP文件。
3. 社交媒體：單擊社交媒體帖子，即時通信聊天等上的惡意連接。
4. 惡意廣告：單擊帶有惡意代碼的合法廣告網站。
5. 感染程序：安裝包含惡意代碼的應用程序或程序。
6. 偷渡感染：訪問不安全，可疑或僞造的網頁；或打開或關閉彈出窗口。注意：若是將惡意JavaScript代碼注入網頁內容中，則可能會破壞合法網頁。
7. 重定向系統（TDS）：單擊合法網關網頁上的連接，該連接會根據用戶的地理位置，瀏覽器，操做系統或其餘過濾器將用戶重定向到惡意站點。
8. 自我傳播：經過網絡和USB驅動器將惡意代碼傳播到其餘設備。
9. 系統漏洞：經過系統漏洞進入windows

10.其實最多見的是，遠程桌面協議rdp破解，即暴力破解用戶密碼，若是你使用的administrator那就只須要破解密碼，因此要特別注意。

《加密文件，處理方案，有兩個》

方案 1 ：只針對Sql Server或Oracle數據庫文件進行修復，修復率在90%-99%。
【條件】需有「未加密或加密」的歷史備份庫文件；
【缺點】修復後會有數據丟失（具體看加密狀況）；
【優勢】工期短，費用相對較低；

方案一手段：根據數據庫文件的結構特徵，能夠經過技術提取未加密的內容進行重組修復，市面上不少都是利用修庫工具處理，因此修復率偏低。修庫有豐富經驗的人，會經過人工提取別的素材，例如庫備份，鏡像等，作得更精細，從這邊的案例看不少時候能達到100%修復。

方案 2 ：解密恢復數據庫和其餘文件，文件內容恢復100%。
【條件】被加密的文件，未改動，未工具處理；
【缺點】費用和工期須要評估樣本後才能肯定；
【優勢】恢復率高；

方案二手段：100%解密恢復電腦中全部的文件，按照技術推論能夠進行算法暴力破解，可是破解的時間須要很長，幾乎沒有人會願意等待那麼久的時間，因此最穩妥的方案就是經過樣本評估得到祕鑰來批量解密恢復處理。

至於經過哪一種方案處理更好，不一樣的感染環境和需求會有更合適的處理回覆方案技術v服務號shuju187提醒你們：電腦中了病毒，第一時間是斷網（拔網線）或關機，來保護數據；不少人以爲文件被加密的無所謂了，可是每每會出現更多意外，致使文件沒法恢復，或者代價更高，這種案例數不勝數；還有不要嘗試去改文件的病毒名稱，來還原文件，這是沒用的，病毒已經經過算法加密了文件內容，沒法正常打開的。並且這種行爲還會帶來二次加密的風險；若是文件不重要，能夠格式化重裝系統。