目录

前言:简介

一、什么是.consultraskey-R-XXXXXXXX勒索病毒?

二、中了.consultraskey-R-XXXXXXXX后缀勒索病毒文件怎么恢复?

三、恢复案例介绍:

四、系统安全防护措施建议:

前言:简介

.consultraskey-R-XXXXXX(XXXXXX是指加密ID号,每台ID号都不一样)后缀勒索病毒是海外著名勒索病毒大家族Mallox(TargetCompany)的最新变种传播病毒,这已经是今年这个家族病毒的第十几个变种升级病毒,近期大家早已收到一些的公司咨询与寻求帮助,请各公司尽量加强防范。

近日,某公司遭受.consultraskey-R-XXXXXXXX勒索病毒攻击,攻击者对几台机器设备实现了数据加密。为了避免攻击进一步扩散,该公司关掉了一部分网站服务器,促使一部分员工没法开展工作中。据了解,机器设备中的资料被加上了“.consultraskey-R-XXXXXXXX”后缀名,而且没法正常得开启。根据后缀名可明确该病毒感染为Mallox大家族勒索病毒。该病菌关键利用RDP远程桌面连接弱口令开展攻击,因为许多客户设定的登陆密码太过于简易,非常容易被攻击者暴力破解密码,并将勒索病毒嵌入设备中实行加密文件。

如需恢复数据,可可关注“91数据恢复”进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个.consultraskey-R-XXXXXXXX后缀勒索病毒。

一、什么是.consultraskey-R-XXXXXXXX勒索病毒?

依据业内专家开展的研究,.consultraskey-R-XXXXXXXX勒索病毒是一种相对高度风险的文件加密病毒感染,.consultraskey-R-XXXXXXXX勒索病毒致力于数据加密数据库文件,加密机器上几乎所有的有可能的文件类型。在数据加密全过程中,在文件夹名称后额外新的文件扩展名(“ .consultraskey-R-XXXXXXXX”),例如,它将名叫“ 1.jpg”的文件重命名为“ 1.jpg.consultraskey-R-XXXXXXXX”,将“ 2.jpg”重新命名为“ 2.jpg.consultraskey-R-XXXXXXXX”。

.consultraskey-R-XXXXXXXX,.consultraskey-F-ID,.FARGO2,.FARGO3,.maxoll, .bozon,.explus,.avast,.devicZz,.consultransom,.mallox,.carone,.exploit,.architek,.brg,.herrco,artiis等勒索病毒感染对于大多数杀毒软件识别来说可能非常具有挑战性,因为文件加密过程完成后不会损坏文件。因此,您的杀毒软件不太可能警告您系统后台正在进行文件加密过程。这是因为,实际上,加密程序是一种被广泛使用的数据保护技术,一般情况下不会造成文件损坏,所以杀毒软件都不会阻止这个过程,这也是为什么很多受害者反馈机器上有运行安全防护软件,但是却没有拦截住此文件加密行为。

.consultraskey-R-XXXXXXXX勒索病毒是怎样散播感染的?

通过对好几家公司感染勒索病毒后的设备和环境及系统软件日志分析,Mallox勒索病毒大家族几乎是根据下面多种方法侵入。

二、中了.consultraskey-R-XXXXXXXX后缀勒索病毒文件怎么恢复

此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的修复方案。

考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可关注“91数据恢复”进行免费咨询获取数据恢复的相关帮助。

与该病毒同类的后缀病毒还有以下各种后缀,都是属于同一个病毒家族的,我们团队均可以恢复处理:

.consultransom

.mallox

.avast

.explus

.exploit

.bozon3

.maxoll-ID号

.FARGO2

.FARGO3

.consultraskey-F-ID号

.consultraskey-R-ID号

三、恢复案例介绍

1. 被加密数据情况

一台服务器,被加密的文件数量2860个。

2. 数据恢复完成情况

数据完成恢复,客户所需的全部文件均已成功恢复,恢复率等于100%。

四、系统安全防护措施建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。

⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。

⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。

⑦ 尽量关闭不必要的文件共享。

⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。