eight勒索病毒——賬務軟體恢復

前言

在最近我們接到的被勒索病毒攻擊的求助者中，我們發現。eight字尾勒索病毒又活躍起來，該勒索病毒屬於PHOBOS勒索病毒家族，該勒索病毒已經存在很多年，時不時冒出來攻擊企業的重要資料，個人電腦也有被攻擊的案例，所以不管是企業還是個人都應該注重網路安全防護，一旦不幸中了勒索病毒，那就是一件非常頭痛的事情，在6月14日，我們就遇到一箇中了。eight勒索病毒的企業，某財務系統資料庫全被加密。下面我們來介紹一下eight勒索病毒該如何處理。

eight勒索病毒怎麼判斷

1。被加密的檔案會被附加上。eight的字尾，例如。mdf檔案，會被改為。id［6AC71182-2815］。［tsai。shen@mailfence。com］。eight 這個id是隨機的

2。會在桌面、資料夾下留下info。txt的勒索信，勒索信上有駭客的聯絡方式要求支付贖金，勒索信如下

勒索信

eight勒索病毒如何處理

該勒索病毒最早被發現時是透過RDP暴力破解或者釣魚郵件的方式侵入到被攻擊物件的機器上，但現在我們發現這種勒索病毒在同一時期攻擊的物件所用的應用軟體都是相同的，所以我們猜測中毒原因和軟體漏洞是相關的，所以企業需要及時更新自己的財務軟體等，eight勒索病毒在對檔案進行加密時，會對搜尋到的檔案進行識別，如果是資料庫（mdf/ldf檔案）、office文件、jpg、pdf等檔案就進行加密，對病毒所釋放的程式不加密，並且會對檔案的大小進行識別，該勒索病毒採用的是AES加密演算法，所以在理論上沒有解密的可能，除非能拿到駭客手上的鑰匙，但是有沒有其他什麼辦法能夠解決呢，上面說到該勒索病毒會對檔案的大小進行識別，對於小檔案它會進行全位元組加密，對於大檔案，只會加密一部分，所以透過資料恢復的手段，我們能將資料提取出來，例如資料庫就能恢復，有些軟體會定期對資料做備份，生成bak檔案，我們知道bak檔案的機構和mdf的結構是相同的，所以有早期備份檔案作參考，就能將被加密的資料庫恢復到100%的完整度。

下面是我們在對被加密檔案恢復時做的底層分析 如圖

可以看到有一片的亂碼

某財務軟體資料恢復

加密的檔案是這樣的，大小21。3G

軟體是這樣的，可以正常開啟

資料匯入後是這樣的，功能都能正常使用，不報錯

安全建議

對企業人員進行網路安全意識培訓，不明的網址、網頁不要點選

對內網主機加固，定期排查未正確安裝的安全軟體裝置，關閉裝置中的非必要服務，提升內網裝置安全性

及時更新系統、應用系統、應用產品安全補丁，定期對裝置做漏洞掃描，及時發現裝置存在的問題

賬戶口令管理，密碼定期更新，儘可能設定複雜密碼

關閉非必要的檔案共享，避免病毒傳播

加裝安全防護軟體