【勒索病毒文件恢复】「数据恢复案例」企业服务器感染.locked后缀勒索病毒

目录

前言：案例介绍

第一。什么是锁定威胁病毒？

其次。如何恢复锁定后缀勒索病毒文件？

三、恢复案例介绍：

1.加密的数据情况

2.数据恢复完成

3.恢复工期

预防勒索病毒-日常保护建议：

前言：案例介绍

最近，91数据恢复小组发现，上周受到勒索病毒攻击的公司的服务器、服务器的SQL数据库加密锁定、软件无法正常启动、库文件名也与攻击者的赎金信息…后缀，91数据恢复团队帮助数据恢复，经过91数据恢复工程师的测试分析，最终确定数据恢复方案，分秒必争。

---

一、什么是.locked勒索病毒？

.locked病毒是一种基于文件勒索病毒代码的加密病毒，隶属于国外知名的TellYouThePass勒索病毒家族。这个病毒已在去年底的主动攻击中被发现。

.locked勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。一旦在入侵后电脑系统上执行加密，locked并在文件名后附加“ .locked ”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.locked ”，“ 2.jpg ”显示为“ 2.locked ”，依此类推。locked还创建了一个名为“ README.html ”的说明文件。

万一不幸感染了这个勒索病毒，您可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

.locked勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，该勒索病毒主要是利用2021年12月爆发的史诗级漏洞log4j进行入侵加密。

Log4j 是几乎每个 Java 应用程序或软件中都包含的无处不在的日志记录工具，所以务必请企业检查服务器上的各软件、应用程序、网站是否已经升级修复该漏洞。

---

二、中了.locked后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法问题，每台感染的电脑服务器文件都不一样，需要独立检测与分析中毒文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）免费咨询获取数据恢复的相关帮助。

---

三、恢复案例介绍：

1. 被加密数据情况

一台公司服务器，需要恢复的数据51万个+，主要恢复oracle数据库的DBF文件。

编辑

2. 数据恢复完成情况

数据完成恢复，客户所需的所有文件均已成功恢复，恢复率等于100%。

编辑

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。