【数据恢复】2022年底.locked1后缀勒索病毒卷土重来

目录

前言：简介

1.什么是.locked1勒索软件？

2.如何恢复.locked1后缀的勒索文件？

三、修复案例介绍：

4、系统安全保护措施建议：

前言：简介

后缀为.locked1的勒索病毒和前段时间大肆传播的后缀为.locked的勒索病毒均属于TellYouThePass勒索病毒家族。 当部分企业的咨询、求助感染.locked1后缀勒索病毒时，各企业要加强防范。

自从.locked后缀勒索病毒蔓延后，我们团队也深入研究了TellYouThePass勒索病毒家族的加密数据及其加密方式。 我们的团队在对部分客户被加密服务器加密的文件和成功恢复案例进行检测分析后，通过前期专业的技术检测，开发出能够保证数据文件完美恢复的预检测方法。 如果您对此后缀有数据恢复需求，可以添加我们的技术服务号（shujuxf）进行咨询。 接下来，我们先来了解一下.locked1勒索病毒。

1.什么是.locked1勒索软件？

locked1后缀勒索病毒是一种基于文件勒索代码的加密病毒。 这种威胁已在主动攻击中出现。 有多种分发技术可用于在目标操作系统上传送恶意文件，例如远程桌面爆破、垃圾邮件、损坏的软件安装程序、种子文件、虚假软件更新通知和被黑网站。

locked1勒索病毒是在国外传播的Tellyouthepass勒索病毒的变种。 它通过特洛伊木马、系统错误或网站漏洞渗透计算机。 一旦成功渗透，病毒就会更改 Windows 注册表、删除卷影副本、打开/写入/复制系统文件、生成在后台运行的进程、加载各种模块等等。

当 .locked1 勒索软件攻击发生时，后台进程会扫描计算机以查找图像、视频、Office 文档和其他文件； 这些目标文件被加密，扩展名改为“.locked1”，用户无法再正常打开这些文件。

勒索软件绕过所有系统防御并启动加密文件的过程。 加密过程中会占用系统资源，计算机运行速度会变慢，但由于各种原因（如休息日），用户可能不会注意到。 最显着的特点是扩展名更改为“.locked1”。

与其他勒索软件相比，TellYouThePass勒索软件及其变种.locked1传播速度更快、范围更广。 病毒通过公开的软件漏洞或未公开的零日漏洞进行快速、大规模的感染。 因此，该病毒家族的每一个新变种都应该引起机关、企业和个人的高度重视，必须加强防范和警惕。

勒索信README1.html内容：

联系邮箱：service@hellospring.online，准备0.12btc，如果你联系不上我的邮箱，请联系一些数据恢复公司（建议taobao.com），他们可以联系我。你的个人ID：KqwRsjutL2bOJD6vI2gLU7Xg4wWPCG7ybIi09JtaG p06Hv2/pfGk26J57N0Dr5/ RrTpfMh+GwUraQtgIbLzyoYdXmTCWpyUP9wy3Zwrr54g9X83D9puXe VN3DDOmH9plpxY3dkCaa2DhpBiDFjkVvPz9120lElYkgSbpTJDoHLe7MaXfkihDYR8g3UCWB+HQk Uf41kwO3s3WWQmR7hkPf0cSl0gbPCnFoJyzAlZO5mfwINObLCD1qXWytFXuABTG/DzvjdaUn6gnF 3C3Jhj6Pb6DfuddHy+Ae8dDbp8PAf8UPuvpHlB2k3flf1W/zXHvTrcTZtM/HBqoPGcRJHT4NMuCC UT8lADz1GIReZBT1zM1uLsB03xGttJuVheZx0HWrW7IQu4YMWdmEuZ5hbHMUYAZazdh7KL0kJ6aq usJPdTXiDeaEMLeX2U+GUsqUSY5yq54Qdr3.....

.locked1 勒索软件如何传播感染？

通过分析多家感染.locked1勒索病毒的公司的机器环境和系统日志，TellYouThePass勒索病毒家族主要通过以下途径进行入侵。 请您一一了解并查看以下防止入侵的方法。 毕竟事前预防总比事后恢复容易很多。

1.RDP/弱密码

远程桌面协议（RDP：Remote Desktop Protocol）主要用于用户远程连接和控制计算机，通常使用3389端口进行通信。 当用户输入正确的用户密码后，就可以直接操作自己的远程计算机，这就为攻击者提供了新的攻击面。 任何拥有正确凭据的人都可以登录计算机。 因此服务器中了比特币勒索病毒，攻击者可以利用工具扫描攻击目标的端口。 如果用户开放了3389端口，没有相关防范意识，使用123456等弱口令，攻击者可以远程连接，通过字典尝试各种组合，暴力破解Username Password。 一旦获得登录权限，就可以直接释放勒索病毒，进一步横向渗透，扩大影响范围。

2. 安全漏洞的利用

漏洞利用与时间密切相关。 如果攻击者利用0day进行攻击，则相关系统或组件极其危险。 但在以往的勒索事件中，大多数攻击者一般都是使用成熟的漏洞利用工具进行攻击服务器中了比特币勒索病毒，比如永恒之蓝、RIG、GrandSoft等漏洞利用包。 如果用户不及时修复相关漏洞，很可能被攻击。

为了方便用户做好漏洞防范工作，各国都提供了漏洞收集和查询的机构。 全球最权威的是CVE，Common Vulnerabilities & Exposures（常见漏洞与暴露），官网：CVE-CVE； 国内最权威的是CNVD，中国国家漏洞数据库，官网：。

2.如何恢复.locked1后缀的勒索文件？

由于该后缀病毒文件的加密算法不同，每台被感染的电脑服务器文件都是不同的。 需要独立检测分析加密文件的病毒特征和加密方式，确定最适合的恢复方案。

如果不需要恢复数据，可以直接格式化整个磁盘，然后重装系统使用。 数据安全防范和异地备份可以后期做。

如果需要恢复数据，建议先咨询专业的数据恢复公司，也可以添加我们的技术服务号（shujuxf）进行免费咨询，获得数据恢复的相关帮助。

三、修复案例介绍：

最近，我们已经帮助许多客户恢复了感染了.locked1 后缀的勒索软件的服务器。 下面显示了其中一个数据恢复案例。

一、加密数据情况

客户业务软件服务器感染.locked1后缀勒索病毒，加密文件16万+。 主要是要恢复业务软件的数据库文件，高达几百G。

2.数据恢复完成

数据已恢复，16万+文件，包括业务软件的数据库文件，全部100%恢复。 恢复后的文件可以正常打开和使用。

4、系统安全保护措施建议：

预防远比救援重要。 强烈建议您每天做好以下防护措施，确保您的机器能够抵御勒索软件的恶意攻击。 以下措施可以有效防止其攻击：

1. 实施强密码。 许多帐户泄露的发生是由于密码很容易被猜到，或者密码太简单以至于算法工具可以在几天内发现它们。 确保选择安全的密码，例如选择带有字符变体的较长密码，以及使用自行创建的规则来制作密码短语。

2.激活多重身份验证。 通过在基于密码的初始登录之上添加一层来阻止暴力攻击。 尽可能在所有系统上包括生物识别或物理 USB 密钥验证器等措施。

3. 重新评估和简化用户帐户权限。 将权限限制在更严格的级别，以限制潜在威胁的畅通无阻。 特别注意端点用户和具有管理员级别权限的 IT 帐户访问的那些。 Web 域、协作平台、Web 会议服务和公司数据库都应该受到保护。

4. 清理过时和未使用的用户帐户。 一些较旧的系统可能有过去员工的帐户，这些帐户从未停用和关闭过。 完成系统检查应包括消除这些潜在的弱点。

5. 确保系统配置遵循所有安全程序。 这可能需要时间，但重新审视现有设置可以发现新问题和过时的政策，使您的企业面临攻击风险。 必须定期重新评估标准操作程序以应对新的网络威胁。

6.始终准备好系统范围的备份和干净的本地机器映像。 事件发生了，唯一真正防止永久性数据丢失的方法是离线备份。 应定期创建数据的异地备份，以便及时了解系统的任何重要变化。 如果备份被恶意病毒感染，可以考虑使用多个轮换备份点来选择文件保留期限。

7.确保你有一个全面的企业网络安全解决方案。 考虑购买企业级网络安全保护软件，帮助您捕获整个公司网络的文件下载，并通过实时保护更好地抵御网络攻击。 帮助您保护您的业务和设备。