近日接到有客户提交的被.lockfiles勒索病毒加密的数据库,经过分析 MDF DBF文件等 是全加密的无法修复,但是备份文件 加密较少 可以进行有损恢复,遇到此类案例不要放弃。

勒索病毒加密原理(.lockfiles勒索病毒解密)(1)

勒索病毒加密原理(.lockfiles勒索病毒解密)(2)

锁定文件可以正确识别为MedusaLocker勒索软件类型的感染。

Lockfiles将其特定的“ .lockfiles”扩展名添加到每个文件的名称中。例如,名为“ my_photo.jpeg”的照片将被转换为“ my_photo.jpeg.lockfiles ”,在名为“ report.xlsx ”的Excel表中进行报告–变为“ report.xlsx.lockfiles ”,依此类推。

Recovery_Instructions.html文件是赎金记录,可以在包含加密文件的每个文件夹中找到。在其中,您可以找到有关联系Lockfiles勒索软件开发人员的方式的信息,以及其他一些信息。在赎金通知书中,通常会有一条说明,说明有关购买解密工具的信息。该解密工具由勒索软件开发人员创建。

这是锁文件的摘要:

名称 勒索文件病毒

勒索软件家族1个 MedusaLocker勒索软件

扩展名 .lockfiles

勒索软件注意事项 Recovery_Instructions.html

侦查2个 勒索:Win32 / Lolkek.PA!MTB,勒索:Win32 / Zudochka.AR!MTB,木马:Win32 / Ymacco.AA4A

症状 您的文件(照片,视频,文档)具有.lockfiles扩展名,您无法打开它。

勒索病毒加密原理(.lockfiles勒索病毒解密)(3)

两种方法可以注入Lockfiles:电子邮件垃圾邮件和特洛伊木马。您可能会在电子邮件中看到很多消息。但是所有这些消息都是从未知的电子邮件地址发送的,而不是从这些公司熟悉的官方电子邮件发送的。所有此类字母均包含附件,该文件用作勒索软件的载体。如果您打开此文件,您的系统将被Lockfiles感染。

如果存在特洛伊木马,系统会以合法身份(例如Chrome更新)为名,在您的PC上下载并安装勒索软件,或者更新您存储在计算机中的软件。有时,特洛伊木马病毒可以被掩盖为合法程序,勒索软件将作为重要更新或一大包扩展程序提供下载,这对于正常程序功能是必不可少的。

还有第三种勒索软件注入方式,但是,它变得越来越流行。我说的是对等网络,例如torrent或eMule。没有人可以控制种子中打包的文件,因此下载后您会发现大量不同的恶意软件。如果情况迫使您从对等网络下载某些内容,请使用防病毒软件扫描每个下载的文件夹或存档。

支付赎金也是一个错误的决定。不能保证Lockfiles勒索软件开发人员会向您发送解密工具和正确的解密密钥。而且在很多情况下,勒索软件分发者欺骗了受害者,发送了错误的密钥.

,