.consultraskey-G勒索病毒|勒索病毒解密|勒索病毒恢复|数据修复|勒索病毒|文件名|服务器

前言：简介

一、什么是.consultraskey-G-XXXXXXX勒索病毒？

二、中了.consultraskey-G-XXXXXXX后缀勒索病毒文件怎么恢复？

三、恢复案例介绍：

四、系统安全防护措施建议：

前言：简介

近日，91数据恢复研究中心捕获一起Mallox勒索病毒攻击事件，黑客在成功侵入内网后下发勒索病毒文件，勒索病毒运行后迅速加密数据库文件，在文件名后附加“ .consultraskey-G-ID号”后缀来重命名所有加密文件，导致文件不可用，影响业务运行，同时还会尝试在内网中横向移动，获取更多设备的权限并进一步扩散。

这个.consultraskey-G-XXXXXXX后缀勒索病毒已经是Mallox勒索病毒家族今年的第十几个升级变种了，同时也是自从今年发现.consultraskey勒索病毒至今，短短几个月时间，这个病毒就升级了3代，从consultraskey-F到consultraskey-R直到现在的consultraskey-G，这其中有什么变化呢？经过我们检测研究发现，FARGO4这个后缀比前面三代的加密占比不同，根据文件的加密时间观察对比，其加密速度也在提升，这将导致数据的恢复难度再一次升级，下面我们来了解看看这个.consultraskey-G-ID号后缀勒索病毒。

如果不幸感染了这个勒索病毒，您可关注“91数据恢复”免费咨询获取数据恢复的相关帮助。

一、什么是.consultraskey-G-XXXXXXX勒索病毒？

.consultraskey-G-ID号病毒是一种基于文件勒索病毒代码的加密病毒，隶属于国外知名的Mallox勒索病毒家族。这个病毒已在主动攻击中被发现。

.consultraskey-G-ID号勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。一旦在入侵后电脑系统上执行加密，并在文件名后附加“ .consultraskey-G-XXXXXXXXX”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.consultraskey-G-XXXXXXXXX”，“ 2.jpg ”显示为“ 2.jpg.consultraskey-G-XXXXXXXXX”。

Mallox 勒索病毒家族最新变种的加载器采用C# 编写，函数名称严重混淆且中间添加了很多垃圾运算指令，这给沙箱自动化分析和人工逆向都带来了不小的困难。

Mallox 勒索病毒最终加密文件使用的是chacha20 算法，chacha20 算法是salsa20 流密码的一种变体，该对称算法可在短时间内加密主机所有文件。

.consultraskey-G-XXXXXXX勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，Mallox勒索病毒家族基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

二、中了.consultraskey-G-XXXXXXX后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可关注“91数据恢复”进行免费咨询获取数据恢复的相关帮助。

三、恢复案例介绍：

1. 被加密数据情况

一台公司服务器，被加密的数据文件有6万多个文件。

2. 数据恢复完成情况

数据完成恢复，所有的文件均已成功恢复，恢复率等于100%。