扣扣中毒了怎么办

前言：案例简介

一、什么是.Globeimposter-Beta666qqz勒索病毒？

二、中了.Globeimposter-Beta666qqz后缀勒索病毒文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据情况

2. 数据恢复完成情况

3. 恢复工期

前言：案例简介

广东某公司服务器感染了后缀.Globeimposter-Beta666qqz勒索病毒，公司的2台服务器全部中毒，文件被全部加密，急需数据恢复，否则公司多年的业务设计图纸都毁于一旦，每张设计图纸的价值都不菲，公司业务将受到重挫，经联系91数据恢复工程师远程查看，并沟通协商了相应的解决方案，立即安排工程师驱车几百公里进行上门完成数据恢复工作，经过一个通宵的紧急施工恢复，最终于次日中午完成全部数据恢复。

近日，91数据恢复团队接到多起公司的求助，这些公司的服务器都因中毒感染.Globeimposter-Beta666qqz后缀勒索病毒而导致公司业务停摆或耽误，.Globeimposter-Beta666qqz后缀勒索病毒突然再次肆虐传播，这个勒索病毒究竟是什么来头？让91数据恢复团队分析看看。

一、什么是.Globeimposter-Beta666qqz勒索病毒？

.Globeimposter-Beta666qqz是GlobeImposter家族勒索病毒的恶意病毒 ，感染了该恶意软件的系统已对其数据进行了加密，并且用户收到了对解密工具/软件的赎金要求。在加密过程中，所有受影响的文件都将附加扩展名“ .Globeimposter-Beta666qqz ”。例如，加密后，最初名为“ 1.jpg ”的文件将显示为“ 1.jpg.Globeimposter-Beta666qqz ”。无论如何，强烈建议您不要与罪犯进行交流和/或与罪犯交钱。尽管满足了赎金的要求，但受害者通常仍未收到承诺的解密工具/软件。因此，他们遭受财务损失，其数据仍保持加密状态。

黑客通过远程桌面口令爆破获得对目标计算机的访问权限后，勒索软件开始运行恶意进程，这些进程负责禁用防病毒程序，消除某些启动进程，感染合法的Windows进程以将勒索软件毒株隐藏起来等。更具体地说，Beta666qqz病毒会创建以下Windows注册表项：

HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows Defender DisableAntiSpyware

HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows Defender Real-Time Protection //www.czybx.comDisableBehaviorMonitoring

HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows Defender Real-Time Protection DisableOnAccessProtection

HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows DeCHLbRLQCfender Real-Time Protection DisableRealtimeMonitoring

HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows NT Terminal Services MaxDisconnectionTime

HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows NT Terminal Services MaxIdleTime

HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows HomeGroup DisableHomeGroup

因此，内置Windows保护功能和第三方AV工具都无法运行。此外，由于恶意的PowerShell命令，受害者将无法恢复.Globeimposter-Beta666qqz文件，该命令会自动删除所有卷影副本。：

C： Documents and Settings Administrator AppData

C： Documents and Settings Admin//www.czybx.comistrator Application Data

C： Documents and Settings Administrator Contacts

C： Documents and Settings Administrator Cookies

C： Documents and Settings Administrator Desktop

C： Documents and Settings Administrator Documents

C： Documents and Settings Administrator Downloads

与该病毒同类的后缀病毒还有以下各种后缀，都是同一个病毒家族的，均可以恢复处理：

.Globeimposter-Alpha865qqz

.Globeimposter-Beta865qqz

.Globeimposter-Delta865qqz

.Globeimposter-Epsilon865qqz

.Globeimposter-Gamma865qqz

.Globeimposter-Zeta865qqz

666qqz

.Globeimposter-Alpha666qqz

.Globeimposter-Beta666qqz

.Globeimposter-Delta666qqz

.Globeimposter-Epsilon666qqz

.Globeimposter-Gamma666qqz

.Globeimpo//www.czybx.comster-Zeta666qqz

.GlobeImposter-Beta666qqz勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

关闭远程桌面，或者修改默认用户administrator

共享设置

检查是否只有共享出去的文件被加密。

软件漏洞

根据系统环境，针对性进行排查，例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。

二、中了.Globeimposter-Beta666qqz后缀勒索病毒文件怎么恢复？

此后缀文件的修复成功率大概在95%~100%之间。

1.如果文件不急需，可以先备份等黑客被抓或良心发现，www.czybx.com自行发布解密工具，但是希望很渺茫。

2.如果文件急需，可以咨询我们的技术服务号（shujuxf），发送文件样本进行免费咨询数据恢复方案。

3.幸运的是，如果只需要单独恢复数据库文件，这个病毒的中毒数据库文件可以修复率达到95%~99%之间，但是需要十分专业的修复技术进行提取方可完成，具体可以咨询技术服务号（shujuxf）。

三、恢复案例介绍：

1. 被加密数据情况

两台服务器，被加密的文件数据量一共16万+个，数据量约600G。

2. 数据恢复完成情况

数据完成恢复，16万个被加密，只有12个文件未恢复，都属于软件安装包里的无用文件，恢复率等于100%。

3. 恢复工期

两台服务器，我们团队在收到客户当天晚上下单，立马安排工程师驱车几百公里到客户现场开始执行恢复，最终于次日中午完成了全部数据的恢复，耗时12小时。

内容版权声明：除非注明原创否则皆为转载，再次转载请注明出处。

文章标题: 扣扣中毒了怎么办

文章地址: www.czybx.com/baike/442136.html