中了eking勒索病毒怎麼辦?最近出現大規模感染的.eking後綴勒索病毒如何應對？

最近出現多家公司找我諮詢，他們所在公司的服務器都感染了.eking後綴勒索病毒，中毒後，服務器上的全部文件都被加密鎖定，沒辦法正常打開使用，並且文件名也被篡改爲.eking後綴，致使公司業務沒法正常開展，影響較大。經與他們緊密溝通及進行文件檢測，根據檢測的結果，我向他們提供了相應的解決方案建議，已有公司按照解決方案的建議順利完成了文件數據的恢復工做。

對於這個.eking後綴勒索病毒到底是什麼來頭？是經過什麼方式傳播感染的？如何預防和中毒後如何救援？讓咱們來一塊兒進行了解。

 

什麼是.eking後綴勒索病毒？

.eking後綴後綴勒索病毒是一種惡意的文件加密病毒，已於2020年5月17日在表面上被發現。***開始緩慢，但此後影響了全球愈來愈多的用戶。根據研究人員，該病毒是經過與Adobe Acrobat Crack捆綁在一塊兒的洪流網站進行分發的，該網站很是流行，而且使病毒易於傳播。一旦啓動了惡意有效負載，.eking後綴就開始***的第一階段，即注入惡意.exe進程並得到對系統的管理特權。第二階段與文件加密有關。爲了鎖定受害者的文件，該勒索病毒背後的犯罪分子使用AES加密和ID。[decphob@tuta.io] .eking後綴附錄。 

.eking後綴勒索病毒病毒從起源上是臭名昭著的Phobos勒索病毒家族，該家族擁有20多個成員，包括Mamba，Phoenix和ISO勒索病毒。就像前輩同樣，它模仿了Dharma家族臭名昭著的文件加密病毒。它對贖金票據使用相同的樣式，並在逐字上提供相同的指示。目前，.eking後綴病毒在每一個包含鎖定文件的文件夾中建立一個彈出窗口info.hta或文本文件info.txt。該文件包含兩個用於聯繫人的電子郵件：decphob@tuta.io和decphob@protonmail.com。可是，既不建議聯繫罪犯也不要支付贖金。  

名稱	.eking後綴
所屬家族	該病毒屬於Phobos勒索病毒家族
分類	勒索病毒/文件加密病毒
加密方式	根據Phobos家族的歷史，據信.eking後綴正在使用AES密碼對受感染機器上的文件進行加密
文件後綴名	勒索病毒使用.eking後綴後綴鎖定的文件。 包含不只限於如下後綴版本 [holylolly@airmail.cc] .eking後綴 「，」。[digistart@protonmail.com] .eking後綴 「，」 。[greed_001@aol.com] .eking後綴 「，」 。[helpmedecoding@airmail.cc] .eking後綴 「，」 。[Black_Wayne@protonmail.com] .eking後綴 「 ，「 。[Decryptdatafiles@protonmail.com] .eking後綴 」，「 。[supp0rt@cock.li] .eking後綴 」，「 。[quickrecovery05@firemail.cc] .eking後綴 」，「 。[tsec3x777@protonmail.com]。芯吸 「 」[DECRYPTUNKNOWN@Protonmail.com] .eking後綴 「， 」[gluttony_001@aol.com] .eking後綴 「， 」[recoryfile@tutanota.com] .eking後綴 「，」 。[ICQ @ fartwetsquirrel]。芯吸 「」 。[jerjis@tuta.io]。.eking後綴 」，「 [holylolly@airmail.cc] .eking後綴 」，「[pride_001@aol.com] .eking後綴 「，」 [kabura@firemail.cc] .eking後綴 「，」 [r4ns0m@tutanota.com] .eking後綴 「，」 [contactjoke@cock.li] .eking後綴 「，」 [moon4x4 @ tutanota.com] .eking後綴 「，」 [hublle@protonmail.com] .eking後綴 「和」 。[eight20@protonmail.com] .eking後綴
傳播方式	目前，該病毒是經過與Adobe Acrobat Crack捆綁在一塊兒的Torrent網站最活躍地傳播的。可是，勒索病毒管理者還能夠利用開放的RDP或經過惡意垃圾郵件附件傳播有效載荷
消除	從系統中刪除勒索病毒的惟一可能性是使用專業的AV引擎進行完全掃描
文件解密	不幸的是，沒有官方的.eking後綴解密器。

 

.eking後綴文件擴展名病毒已被檢測爲最新的Phobos勒索病毒家族變體。據找我求助的人說，他下載了某些軟件，這是Adobe Acrobat專門破解工具，不久以後，該文件（例如照片，視頻，文檔等）被鎖定。

 

不幸的是，目前尚未其餘工具能夠解密由.eking後綴勒索病毒加密的文件。換句話說，只有.eking後綴的開發人員才擁有正確的解密工具。雖然，大多數勒索病毒開發人員的問題在於，即便付款後，他們也常常不發送解密工具和/或密鑰。簡單地說，信任網絡犯罪分子並向他們支付贖金的受害者每每被騙。

 

.eking後綴勒索病毒是如何感染個人計算機？

網絡罪犯用於傳播勒索病毒和其餘惡意軟件的最多見方法是使用垃圾郵件活動，假冒軟件更新程序，不可靠的下載渠道，非官方的軟件激活工具和特洛伊***。當他們使用垃圾郵件活動時，他們會發送包含惡意附件或網站的電子郵件，以及旨在下載惡意文件的連接。不管哪一種方式，其主要目的都是欺騙收件人打開（執行）旨在安裝惡意軟件的惡意文件。在大多數狀況下，附加在電子郵件中的惡意文件包括Microsoft Office文檔，存檔文件（如ZIP，RAR），PDF文檔，JavaScript文件和可執行文件（如.exe）。傳播惡意軟件的另外一種流行方法是經過僞造的軟件更新程序。一般，非官方的第三方更新工具不會更新，修復任何已安裝的軟件。他們只是利用漏洞，某些過期軟件的缺陷來安裝惡意軟件或感染系統。此外，不可靠的軟件下載渠道也可用於分發惡意軟件。常常經過對等網絡（如torrent客戶端，eMule，各類免費文件託管，免費軟件下載網站和其餘相似渠道）下載文件的用戶下載惡意文件。這些文件在執行時會感染惡意軟件。值得一提的是，此類文件常常被假裝成合法，常規的文件。軟件「破解」工具是用戶尋求免費激活付費軟件時使用的程序。可是，它們沒有激活它，而是容許那些工具安裝勒索病毒類型的惡意軟件和其餘惡意軟件。***程序，若是已安裝，旨在傳播各類惡意軟件。簡而言之，若是已經安裝了這種類型的惡意程序，則頗有可能會形成其餘損害。

 

如何保護本身免受.eking後綴勒索病毒感染？

不該該打開不相關電子郵件中的連接和附件，尤爲是若是它們是從未知的可疑地址收到的。在打開其內容以前，應始終仔細分析此類電子郵件。只能從官方網站或經過直接連接下載軟件。上面提到的非官方頁面，第三方下載器（和安裝程序）以及其餘渠道，來源均不可信。此外，正確更新和激活軟件也很重要。更確切地說，應該使用官方軟件開發人員提供的設計實現的功能（或工具）來完成此操做。全部其餘工具一般都用於分發惡意軟件，此外，使用非官方的第三方工具激活許可軟件是非法的。最後，應使用信譽良好的防病毒或反間諜軟件按期掃描計算機，該軟件應始終是最新的。

 

中了. eking後綴文件後綴的Phobos勒索病毒文件怎麼恢復？

此類勒索病毒屬於：Phobos家族 ，目前暫時不支持解密.

1.若是文件不急需，能夠先備份等***被抓或良心發現，自行發佈解密工具

2.若是文件急需，能夠添加服務號（shujuxf）發送文件樣本進行免費諮詢數據恢復方案，或者尋求其它第三方解密服務。

 

預防勒索病毒-平常防禦建議：

預防遠比救援重要，因此爲了不出現此類事件，強烈建議你們平常作好如下防禦措施：

1．多臺機器，不要使用相同的帳號和口令，以避免出現「一臺淪陷，全網癱瘓」的慘狀；

2．登陸口令要有足夠的長度和複雜性，並按期更換登陸口令；

3．嚴格控制共享文件夾權限，在須要共享數據的部分，儘量的多采起雲協做的方式。

4．及時修補系統漏洞，同時不要忽略各類經常使用服務的安全補丁。

5．關閉非必要的服務和端口如135、139、445、3389等高危端口。

6．備份備份備份！！！重要資料必定要按期隔離備份。進行RAID備份、多機異地備份、混合雲備份，對於涉及到機密或重要的文件建議選擇多種方式來備份；

7．提升安全意識，不隨意點擊陌生連接、來源不明的郵件附件、陌生人經過即時通信軟件發送的文件，在點擊或運行前進行安全掃描，儘可能從安全可信的渠道下載和安裝軟件；

8．安裝專業的安全防禦軟件並確保安全監控正常開啓並運行，及時對安全軟件進行更新。