近日 Phobos 勒索軟件家族Eking勒索病毒較活躍，今天接到一個(gè)oracle數(shù)據(jù)庫 勒索病毒加密的案例, 由于DBF文件被全加密，但是可以從加密的DMP備份文件恢復(fù)?？梢越鉀Q問題。

下面是 該病毒的一些資料

Eking屬于 Phobos 勒索軟件家族。它對文件進(jìn)行加密，重命名并生成大量勒索消息。Eking通過添加受害者的ID，decphob @ tuta.io電子郵件地址并在文件名后附加“ .eking ”擴(kuò)展名來重命名文件。例如，它重命名“ 1.JPG ”到“ 1.jpg.id [1E857D00-2275] [decphob@tuta.io] .eking ”， “ 2.JPG ”到“ 2.jpg.id [1E857D00-2275 ]。[decphob@tuta.io] .eking ”，依此類推。它在彈出窗口中顯示勒索消息(“ info.hta ”)，并在文本文件中創(chuàng)建另一個(gè)勒索消息(“ info.txt ”)。

info.hta和info.txt勒索消息指出，受害者必須通過發(fā)送電子郵件至decphob@tuta.io或decphob@protonmail.com并等待進(jìn)一步的指示來聯(lián)系Eking的開發(fā)人員。如果受害者在24小時(shí)內(nèi)未收到答復(fù)，則敦促他們通過提供的Tor網(wǎng)站鏈接與網(wǎng)絡(luò)犯罪分子聯(lián)系。它們還提供多達(dá)五個(gè)文件的免費(fèi)解密，可以在支付解密費(fèi)用之前將其發(fā)送給Eking的開發(fā)人員。不幸的是，沒有其他工具可以解密Eking勒索軟件破壞的文件-只有Eking的開發(fā)人員才擁有有效的解密工具。請注意，即使付款后，勒索軟件開發(fā)人員也不會(huì)發(fā)送解密工具/密鑰。因此，信任網(wǎng)絡(luò)罪犯的受害者經(jīng)常被騙。一般來說，恢復(fù)對由于勒索軟件攻擊而丟失的文件的訪問的唯一方法是從備份中還原它們。從操作系統(tǒng)中卸載Eking將阻止進(jìn)一步的加密，但是，即使刪除了勒索軟件，已經(jīng)加密的文件仍然無法訪問。

鼓勵(lì)用戶支付贖金以解密其泄露數(shù)據(jù)的消息的屏幕截圖：

還有許多其他勒索軟件感染的例子，包括 Koti，ZoNiSoNaL和MR.ROBOT。該軟件對數(shù)據(jù)進(jìn)行加密，并提供有關(guān)如何聯(lián)系設(shè)計(jì)數(shù)據(jù)的網(wǎng)絡(luò)罪犯，支付贖金和其他信息的說明。共同的區(qū)別是勒索軟件用來鎖定(加密)文件的解密工具/密鑰和加密算法(對稱或非對稱)的成本。在大多數(shù)情況下，僅當(dāng)勒索軟件包含錯(cuò)誤/缺陷且不完整時(shí)，才可以進(jìn)行免費(fèi)解密。不幸的是，這種情況很少見。因此，將數(shù)據(jù)備份到遠(yuǎn)程服務(wù)器(例如Cloud)和/或未插拔的存儲設(shè)備上非常重要。

勒索軟件如何感染我的計(jì)算機(jī)?

網(wǎng)絡(luò)罪犯用于傳播勒索軟件和其他惡意軟件的一些最常見方法是通過垃圾郵件活動(dòng)，假冒軟件更新程序，不可信的下載渠道，非官方的軟件激活工具和特洛伊木馬。他們使用垃圾郵件活動(dòng)發(fā)送包含惡意附件或旨在下載危險(xiǎn)文件的網(wǎng)站鏈接的電子郵件。他們的主要目的是欺騙收件人打開(執(zhí)行)惡意文件，然后安裝惡意軟件。這些文件通常是Microsoft Office文檔，存檔文件(ZIP，RAR)，PDF文檔，JavaScript文件以及諸如.exe之類的可執(zhí)行文件。惡意軟件還通過偽造的軟件更新程序進(jìn)行傳播。通常，非官方的第三方更新工具不會(huì)更新/修復(fù)任何已安裝的軟件。他們只是通過利用過時(shí)的軟件的錯(cuò)誤/缺陷來安裝惡意軟件或感染系統(tǒng)。此外，不受信任的軟件下載渠道也可以分發(fā)惡意軟件。對等網(wǎng)絡(luò)(例如torrent客戶端，eMule，免費(fèi)文件托管站點(diǎn)，免費(fèi)軟件下載網(wǎng)站和其他類似渠道)通常會(huì)導(dǎo)致惡意文件的下載。執(zhí)行后，這些文件將使用惡意軟件感染計(jì)算機(jī)。請注意，這些文件經(jīng)常偽裝成合法的和常規(guī)的。試圖免費(fèi)激活付費(fèi)軟件的人們使用軟件“破解”程序，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。免費(fèi)軟件下載網(wǎng)站和其他類似渠道通常會(huì)導(dǎo)致惡意文件的下載。執(zhí)行后，這些文件將使用惡意軟件感染計(jì)算機(jī)。請注意，這些文件經(jīng)常偽裝成合法的和常規(guī)的。試圖免費(fèi)激活付費(fèi)軟件的人們使用軟件“破解”程序，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。免費(fèi)軟件下載網(wǎng)站和其他類似渠道通常會(huì)導(dǎo)致惡意文件的下載。執(zhí)行后，這些文件將使用惡意軟件感染計(jì)算機(jī)。請注意，這些文件經(jīng)常偽裝成合法的和常規(guī)的。試圖免費(fèi)激活付費(fèi)軟件的人們使用軟件“破解”程序，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。這些程序供試圖免費(fèi)激活付費(fèi)軟件的人使用，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。這些程序供試圖免費(fèi)激活付費(fèi)軟件的人使用，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。

詳情:

勒索病毒名字 Eking virus

類型 Ransomware, Crypto Virus, Files locker.

加密后的擴(kuò)展名 .eking

贖金消息文本 info.hta and info.txt

郵件地址 decphob@tuta.io, decphob@protonmail.com, holylolly@airmail.cc, digistart@protonmail.com, greed_001@aol.com, helpmedecoding@airmail.cc, Black_Wayne@protonmail.com, Decryptdatafiles@protonmail.com, supp0rt@cock.li, quickrecovery05@firemail.cc, tsec3x777@protonmail.com, DECRYPTUNKNOWN@Protonmail.com, gluttony_001@aol.com, recoryfile@tutanota.com, ICQ@fartwetsquirrel, jerjis@tuta.io, holylolly@airmail.cc, pride_001@aol.com, kabura@firemail.cc, r4ns0m@tutanota.com, contactjoke@cock.li, moon4x4@tutanota.com, hublle@protonmail.com, clearcom@protonmail.com, chinadecrypt@fasthelpassia.com, paymantsystem@cock.li, Hubble77@tutanota.com, savemyself1@tutanota.com, qirapoo@firemail.cc, yoursjollyroger@cock, raboly@firemail.cc, eight20@protonmail.com, divevecufa@firemail.cc, cyvedira@firemail.cc, filedec@tutanota.com, crioso@protonmail.com, eleezcry@tutanota.com, HELPUNKNOWN@Tutanota.com, decrypt20@vpn.tg, kubura@firemail.cc, rodrigos@keemail.me, chadmad@ctemplar.com, chadmad@nuke.africa, dataencrypted@tutanota.com, itambuler@protonmail.com, itambuler@tutanota.com, dcrptfile@protonmail.com, filesdecrypt@aol.com, davidshelper@protonmail.com, reynoldmuren@tutanota.com, dacowe@firemail.cc, dozusopo@tutanota.com, subik099@tutanota.com, subik099@cock.li, trizvani@aol.com, trizvani@tutanota.com, datashop@list.ru, wugenaxu@firemail.cc, databack@airmail.cc, databack@firemail.cc, moonlight101@tutanota.com, moonlight10@mail.ee, fata52@cock.li, fata54@cock.li, phobos2020@cock.li, phobos2020@tutanota.com, xiaolinghelper@firemail.cc, redsnow911@protonmail.com, surpaking@tutanota.com, surpakings@mail.ee, btcunlock@airmail.cc, btcunlock@firemail.cc, anticrypt2020@aol.com, wiruxa@airmail.cc, yongloun@tutanota.com, anygrishevich@yandex.ru, alonesalem@keemail.me, alonesalem@protonmail.com, encrypted60@tutanota.com, cifrado60@tutanota.com, rantime@tuta.io, ransomtime@cock.li, opticodbestbad@aol.com, opticodbestbad@mail.ee, unlockdata@firemail.cc, onlyway@secmail.pro, jobiden1942@protonmail.com, jonneydep@protonmail.com, forumsystem@cock.li, forumsystem@techmail.info, sdx-2020@tutanota.com, sdx-20200@protonmail.com, encryption2020@aol.com, grootp2@protonmail.com, noobt56@protonmail.com, dragon.save@aol.com, dragon.save@yahoo.com, dragon.save@aol.com, drgreen1@keemail.me, drgreen2@protonmail.com, decryption24h@criptext.com, decryption24h@elude.in, fastwind@mail.ee, fastwind2@protonmail.com, newera@ctemplar.com, newera@tfwno.gf, johnsonz@keemail.me, johnsonz@cock.lu, pandora9@tuta.io, happy@gytmail.com, ghosttm@zohomail.com, falcon360@cock.li, tebook12@protonmail.com, rody_218@protonmail.com, erichhartmann_main@protonmail.com, erichhartmann_reserve@tuta.io, files@restore.ws, covidv19@tutanota.com, dtramp@tuta.io, lexus@gytmail.com, decrypt20@stealth.tg, decrypt20@firemail.cc, dowendowxxx@privatemail.com, ransom1999@tutanota.com, ransom2000@tutanota.com, hellook@gytmail.com, 1bmx1@tuta.io, ransomsophos@tutanota.com, dr.cryptor@secmail.pro, dr.cryptor@protonmail.com, lepuscrysupp@mail.ee, lepuscrysupp@cock.li, keydecryption@airmail.cc, 5559912@firemail.cc, infoback@criptext.com, infoback@mail.ee, datastore@outlookpro.net, getmydata@cock.li, in0x2@tutanota.com, in0x2@int.pl, ransomwaree2020@cock.li, ransomwaree2021@cock.li, ghiedksjdh6hd@cock.li, sdjhf4df@potronmail.com, harpia2019@aol.com, harpia2019@mailfence.com, unlockfile@firemail.cc, unlockfile@criptext.com, jennymombu@aol.com, jennymombu@firemail.cc, decryption24h@mailfence.com, ezfilesdec@tutanota.com, filesdecrypt@aol.com, helpme2021@aol.com, firmaverileri@bk.ru, sacura889@tutanota.com, sacura889@protonmail.com, anticrypt2021@aol.com, james2020m@aol.com, james2020m@cock.li, jackkarter@gmx.com, jackkarter@cock.li, maykeljakson@cock.li, maykeljakson@criptext.com, basani400@aol.com, basani400@mailfence.com, jonnylow@techmail.info, jonnylow@keemail.me, databankasi@bk.ru, crashonlycash@gmx.com, gracia154@tuta.io, gracia154@cock.li, help4rec@tutanota.com, help4dec@cock.li, coderunlocker@gmail.com, coderunlockerr@gmail.com, howrecover@tutanota.com, recover1@cock.li, mikolio@cock.li, mikolio@xmpp.jp, sharm777@aol.com, sharm777@protonmail.com, boomblack@tutanota.com, boomblack@cock.li, @helpsnow (Telegram), and decphob on Sonar

殺毒軟件檢測名稱 Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.GenericKD.33855769), ESET-NOD32 (A Variant Of MSIL/GenKryptik.EKSC), Kaspersky (

HEUR:Trojan-PSW.MSIL.Agensla.gen), Full List Of Detections (VirusTotal)

進(jìn)程 Battleships (its name may vary)

加密后的形式 Cannot open files stored on your computer, previously functional files now have a different extension (for example, my.docx.locked). A ransom demand message is displayed on your desktop. Cyber criminals demand payment of a ransom (usually in bitcoins) to unlock your files.

感染途徑 Infected email attachments (macros), torrent websites, malicious ads.