图片展示

通告:近期大量财务服务器感染.Locked勒索病毒,了解紧急救援!!!

.halo勒索病毒

 

 病毒家族 360
病毒别名 halo
影响系统 Windows
出现时间 2023年9月

01

.halo勒索病毒中毒后表现

 

 

所有文件被加上原文件名.halo后缀(扩展名);

 

数据和文件被加密,恢复扩展名仍然无法使用;

Windows系统核心文件未加密,Windows系统可以运行;

系统安全服务、SQL服务、虚拟机、杀毒软件等被关闭禁用;

Windows系统备份被删除;

病毒文件自销毁;

Windows日志被删除;

文件夹下生成 !_INFO.txt

文本内容如下:

WARNING! YOUR FILES ARE ENCRYPTED!
Don’t worry, your files are safe, provided that you are willing to pay the ransom.
Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!
Do not rename your files. It will damage it.

The only way to decrypt your files safely is to buy the special decryption software from us.

Before paying you can send us up to 2 files for free decryption as guarantee. No database files for test.
Send pictures, text, doc files. (files no more than 1mb)

You can contact us with the following email

360recover@gmail.com
360support@cock.li

Send us this ID or this file in first email

ID:***********************************************************************************************************************************

 

截图如下:

暂无数据

GR Tips

发现中毒后的紧急处理建议

 

 

  1. 第一时间断开网络
    1. 阻断设备与外部入侵者的网络连接,防止设备和数据被进一步破坏。
    2. 阻断设备内网传播的途径。

  2. 谨慎重启或关机
    1. 中毒设备保持运行状态,病毒在运行时盲目重启或关机,可能会导致正在加密的数据遭到永久性丢失。
    2. 首先检查核心数据(如数据库、可用备份)被破坏情况;
      1. 如果还没有被感染则立刻关机,通过硬盘外挂到未感染病毒的设备,然后安全拷贝出数据。
      2. 如果被感染则保持开机断网状态,确保病毒无法横向传播的情况下,寻求专业数据恢复和安全机构根据情况进一步指导处理。

  3. 内网其他未中毒设备:全部紧急断网,一台一台检查(禁止风险进程、启动项)、核心数据离线备份、检查日志保留可疑记录、全盘查杀病毒保留可疑样本,在紧急响应完成后,根据保留信息溯源或分析安全漏洞。

GR Tips

寻求专业救援前准备

 

 

根据勒索病毒的计算机数据加密原理,国瑞团队修复或者解密被加密数据,不限任何扩展名,但需要针对不同病毒家族、版本,了解病毒的特性和加密率,用来决策采取对应的处理方法手段。

所以,当您寻求国瑞团队救援数据或其他专业数据恢复或安全机构的帮助之前,最好掌握一些信息,提前介绍给专业人员,以便我们更快速准确判断和解决灾难事件。

  1. 数据被加密后的形态(如扩展名),数据被加密起始时间,发现中毒时间。
  2. 中毒设备数量,包括服务器数量和PC数量,设备是否断网/重启/关机等状态。
  3. 核心数据、必须恢复数据所在的设备情况、数量,比如一台数据库服务器、一台文件服务器、两台附件服务器等。
    核心数据服务器上,分区数量、分区空间使用量,被加密文件的总数量(比如几百个、几万个、百万级),核心数据大小(比如:数据库总共20个、总大小1T、最大的库100G等),数据备份损失情况,是否有未被加密文件情况。
  4. 阅读上面发现中毒后的紧急处理建议,有条件可以做如下操作:
    1. 提取提供病毒样本、攻击工具样本、被加密文件样本(比如核心数据库.mdf文件或小的.txt\.jpg\.doc\.log文件等)、勒索信息样本(一般是病毒在文件夹里生成的txt文件)等信息。
    2. 提供远程权限(windows尽量使用RDP外的第三方工具),以便专业人员第一时间直接登录设备检查详细情况。
  5. 时间充裕可以立即将被加密数据用移动存储设备或异机设备完整备份一份,确保后期处理数据不在唯一数据样本上操作,因为一旦操作失误就可能永久丢失。
,

根据勒索病毒的计算机数据加密原理,国瑞修复或者解密被加密数据,不限任何扩展名,但需要针对不同病毒家族、版本,了解病毒的特性和加密率,用来决策采取对应的处理方法手段。

所以,当您寻求国瑞救援数据或其他专业数据恢复或安全机构的帮助之前,最好掌握一些信息,提前介绍给专业人员,以便我们更快速准确判断和解决灾难事件。

  1. 数据被加密后的形态(如扩展名),数据被加密起始时间,发现中毒时间。
  2. 中毒设备数量,包括服务器数量和PC数量,设备是否断网/重启/关机等状态。
  3. 核心数据、必须恢复数据所在的设备情况、数量,比如一台数据库服务器、一台文件服务器、两台附件服务器等。
    核心数据服务器上,分区数量、分区空间使用量,被加密文件的总数量(比如几百个、几万个、百万级),核心数据大小(比如:数据库总共20个、总大小1T、最大的库100G等),数据备份损失情况,是否有未被加密文件情况。
  4. 了解我们的中毒后紧急处理建议,有条件可以:
    提取提供病毒样本、攻击工具样本、被加密文件样本(比如核心数据库.mdf文件或小的.txt\.jpg\.doc\.log文件等)、勒索信息样本(一般是病毒在文件夹里生成的txt文件)等信息。
    提供远程权限(windows尽量使用RDP外的第三方工具),以便专业人员第一时间直接登录设备检查详细情况。
  5. 时间充裕可以立即将被加密数据用移动存储设备或异机设备完整备份一份,方便以后处理数据时有一份完整备份。

—— 联系我们    Contact Us ——

24小时应急响应电话:15021662155 (微信同号)

 serve@grit.com.cn

样本提交 2012 - 2020 Copyright © 国瑞IT安全服务中心 沪ICP备09036178号 

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了