最近出現大規模感染的.eking字尾勒索病毒如何應對？

最近出現多家公司找我諮詢，他們所在公司的伺服器都感染了。eking字尾勒索病毒，中毒後，伺服器上的所有檔案都被加密鎖定，沒辦法正常開啟使用，而且檔名也被篡改成。eking字尾，導致公司業務無法正常開展，影響較大。經與他們緊密溝通及進行檔案檢測，根據檢測的結果，我向他們提供了相應的解決方案建議，已有公司按照解決方案的建議順利完成了檔案資料的恢復工作。

對於這個。eking字尾勒索病毒究竟是什麼來頭？是透過什麼方式傳播感染的？如何預防和中毒後如何救援？讓我們來一起進行了解。

什麼是。eking字尾勒索病毒？

。eking字尾字尾勒索病毒是一種惡意的檔案加密病毒，已於2020年5月17日在表面上被發現。攻擊開始緩慢，但此後影響了全球越來越多的使用者。根據研究人員，該病毒是透過與Adobe Acrobat Crack捆綁在一起的洪流網站進行分發的，該網站非常流行，並且使病毒易於傳播。一旦啟動了惡意有效負載，。eking字尾就開始攻擊的第一階段，即注入惡意。exe程序並獲得對系統的管理特權。第二階段與檔案加密有關。為了鎖定受害者的檔案，該勒索病毒背後的犯罪分子使用AES加密和ID。［decphob@tuta。io］ 。eking字尾附錄。

。eking字尾勒索病毒病毒從起源上是臭名昭著的Phobos勒索病毒家族，該家族擁有20多個成員，包括Mamba，Phoenix和ISO勒索病毒。就像前輩一樣，它模仿了Dharma家族臭名昭著的檔案加密病毒。它對贖金票據使用相同的樣式，並在逐字上提供相同的指示。目前，。eking字尾病毒在每個包含鎖定檔案的資料夾中建立一個彈出視窗info。hta或文字檔案info。txt。該檔案包含兩個用於聯絡人的電子郵件：decphob@tuta。io和decphob@protonmail。com。但是，既不建議聯絡罪犯也不要支付贖金。

名稱 。eking字尾

所屬家族 該病毒屬於Phobos勒索病毒家族

分類 勒索病毒/檔案加密病毒

加密方式 根據Phobos家族的歷史，據信。eking字尾正在使用AES密碼對受感染機器上的檔案進行加密

檔案字尾名 勒索病毒使用。eking字尾字尾鎖定的檔案。

包含不僅限於以下字尾版本

［holylolly@airmail。cc］ 。eking字尾 “，”。［digistart@protonmail。com］ 。eking字尾 “，” 。［greed_001@aol。com］ 。eking字尾 “，” 。［helpmedecoding@airmail。cc］ 。eking字尾 “，” 。［Black_Wayne@protonmail。com］ 。eking字尾 “ ，“ 。［Decryptdatafiles@protonmail。com］ 。eking字尾 ”，“ 。［supp0rt@cock。li］ 。eking字尾 ”，“ 。［quickrecovery05@firemail。cc］ 。eking字尾 ”，“ 。［tsec3x777@protonmail。com］。芯吸 “ ”［DECRYPTUNKNOWN@Protonmail。com］ 。eking字尾 “， ”［gluttony_001@aol。com］ 。eking字尾 “， ”［recoryfile@tutanota。com］ 。eking字尾 “，” 。［ICQ @ fartwetsquirrel］。芯吸 “” 。［jerjis@tuta。io］。。eking字尾 ”，“ ［holylolly@airmail。cc］ 。eking字尾 ”，“［pride_001@aol。com］ 。eking字尾 “，” ［kabura@firemail。cc］ 。eking字尾 “，” ［r4ns0m@tutanota。com］ 。eking字尾 “，” ［contactjoke@cock。li］ 。eking字尾 “，” ［moon4x4 @ tutanota。com］ 。eking字尾 “，” ［hublle@protonmail。com］ 。eking字尾 “和” 。［eight20@protonmail。com］ 。eking字尾

傳播方式 目前，該病毒是透過與Adobe Acrobat Crack捆綁在一起的Torrent網站最活躍地傳播的。但是，勒索病毒管理者還可以利用開放的RDP或透過惡意垃圾郵件附件傳播有效載荷

消除 從系統中刪除勒索病毒的唯一可能性是使用專業的AV引擎進行徹底掃描

檔案解密 不幸的是，沒有官方的。eking字尾解密器。

。。eking字尾副檔名病毒已被檢測為最新的Phobos勒索病毒家族變體。據找我求助的人說，他下載了某些軟體，這是Adobe Acrobat專門破解工具，不久之後，該檔案（例如照片，影片，文件等）被鎖定。

不幸的是，目前還沒有其他工具可以解密由。eking字尾勒索病毒加密的檔案。換句話說，只有。eking字尾的開發人員才擁有正確的解密工具。雖然，大多數勒索病毒開發人員的問題在於，即使付款後，他們也經常不傳送解密工具和/或金鑰。簡單地說，信任網路犯罪分子並向他們支付贖金的受害者往往被騙。

。eking字尾勒索病毒是如何感染我的計算機？

網路罪犯用於傳播勒索病毒和其他惡意軟體的最常見方法是使用垃圾郵件活動，假冒軟體更新程式，不可靠的下載渠道，非官方的軟體啟用工具和特洛伊木馬。當他們使用垃圾郵件活動時，他們會發送包含惡意附件或網站的電子郵件，以及旨在下載惡意檔案的連結。無論哪種方式，其主要目的都是欺騙收件人開啟（執行）旨在安裝惡意軟體的惡意檔案。在大多數情況下，附加在電子郵件中的惡意檔案包括Microsoft Office文件，存檔檔案（如ZIP，RAR），PDF文件，JavaScript檔案和可執行檔案（如。exe）。傳播惡意軟體的另一種流行方法是透過偽造的軟體更新程式。通常，非官方的第三方更新工具不會更新，修復任何已安裝的軟體。他們只是利用漏洞，某些過時軟體的缺陷來安裝惡意軟體或感染系統。此外，不可靠的軟體下載渠道也可用於分發惡意軟體。經常透過對等網路（如torrent客戶端，eMule，各種免費檔案託管，免費軟體下載網站和其他類似渠道）下載檔案的使用者下載惡意檔案。這些檔案在執行時會感染惡意軟體。值得一提的是，此類檔案經常被偽裝成合法，常規的檔案。軟體“破解”工具是使用者尋求免費啟用付費軟體時使用的程式。但是，它們沒有啟用它，而是允許那些工具安裝勒索病毒型別的惡意軟體和其他惡意軟體。木馬程式，如果已安裝，旨在傳播各種惡意軟體。簡而言之，如果已經安裝了這種型別的惡意程式，則很有可能會造成其他損害。

如何保護自己免受。eking字尾勒索病毒感染？

不應該開啟不相關電子郵件中的連結和附件，尤其是如果它們是從未知的可疑地址收到的。在開啟其內容之前，應始終仔細分析此類電子郵件。只能從官方網站或透過直接連結下載軟體。上面提到的非官方頁面，第三方下載器（和安裝程式）以及其他渠道，來源均不可信。此外，正確更新和啟用軟體也很重要。更確切地說，應該使用官方軟體開發人員提供的設計實現的功能（或工具）來完成此操作。所有其他工具通常都用於分發惡意軟體，此外，使用非官方的第三方工具啟用許可軟體是非法的。最後，應使用信譽良好的防病毒或反間諜軟體定期掃描計算機，該軟體應始終是最新的。

中了。 eking字尾檔案字尾的Phobos勒索病毒檔案怎麼恢復？

此類勒索病毒屬於：Phobos家族 ，目前暫時不支援解密。

1。如果檔案不急需，可以先備份等駭客被抓或良心發現，自行釋出解密工具

2。如果檔案急需，可以新增我的服務號（shujuxf），傳送檔案樣本給我進行免費諮詢資料恢復方案，或者尋求其它第三方解密服務。

預防勒索病毒-日常防護建議：

預防遠比救援重要，所以為了避免出現此類事件，強烈建議大家日常做好以下防護措施：

1．多臺機器，不要使用相同的賬號和口令，以免出現“一臺淪陷，全網癱瘓”的慘狀；

2．登入口令要有足夠的長度和複雜性，並定期更換登入口令；

3．嚴格控制共享資料夾許可權，在需要共享資料的部分，儘可能的多采取雲協作的方式。

4．及時修補系統漏洞，同時不要忽略各種常用服務的安全補丁。

5．關閉非必要的服務和埠如135、139、445、3389等高危埠。

6．備份備份備份！！！重要資料一定要定期隔離備份。進行RAID備份、多機異地備份、混合雲備份，對於涉及到機密或重要的檔案建議選擇多種方式來備份；

7．提高安全意識，不隨意點選陌生連結、來源不明的郵件附件、陌生人透過即時通訊軟體傳送的檔案，在點選或執行前進行安全掃描，儘量從安全可信的渠道下載和安裝軟體；

8．安裝專業的安全防護軟體並確保安全監控正常開啟並執行，及時對安全軟體進行更新。