【数据恢复案例】陕西某医药公司服务器感染.dragon勒索病毒恢复

【数据恢复案例】陕西某医药公司服务器感染.dragon勒索病毒恢复
文章图片
目录
前言:案例简介
一、什么是.dragon勒索病毒?
二、中了.dragon后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
1.被加密数据情况
2.数据恢复完成情况
3.数据恢复工期
前言:案例简介
近日 , 陕西某医药公司中了后缀.dragon勒索病毒 , 公司的ERP软件数据服务器数据全部中毒 , 所有数据库文件被全部加密 , 急需数据恢复 , 否则公司业务运作无法进行 , 业务受到重挫 , 经联系91数据恢复工程师远程查看 , 并多次沟通协商变更了相应的解决方案 , 通过双方远程协同配合 , 最终在1天时间完整恢复数据 。
一、什么是.dragon勒索病毒?
Dragon病毒是一种基于Dragon勒索软件代码的加密病毒 。 在主动攻击活动中已经发现了这种威胁 。 有几种分发技术可用于在目标操作系统上传送恶意文件 , 例如 , 垃圾邮件 , 损坏的软件安装程序 , 洪流文件 , 伪造的软件更新通知和被黑的网站 。
Dragon勒索软件以一种或另一种方式进入计算机后 , 它将更改Windows注册表 , 删除卷影副本 , 打开/写入/复制系统文件 , 产生在后台运行的factura.exe进程 , 加载各种模块等 。
加密数据后 , Dragon勒索软件还与Command&Control服务器联系 , 为每个受害者发送一个RSA私钥(解密文件时需要使用它) 。 最终 , 该恶意软件会加密图片 , 文档 , 数据库 , 视频和其他文件 , 仅保留系统数据 , 还有其他一些例外 。
一旦在目标系统上执行了Dragon勒索软件的有效负载 , 就会触发攻击的第一阶段 。 一旦Dragon文件病毒进行了初步的恶意修改 , 它便可以激活内置的密码模块 , 从而通过该模块设置数据加密过程的开始 。 在攻击的此阶段 , Dragon病毒会扫描所有系统驱动器以寻找目标文件.
.dragon勒索病毒是如何传播感染的?
经过分析多家公司中毒后的机器环境判断 , 勒索病毒基本上是通过以下几种方式入侵 , 请大家可逐一了解并检查以下防范入侵方式 , 毕竟事前预防比事后恢复容易的多 。
远程桌面口令爆破
关闭远程桌面 , 或者修改默认用户administrator
共享设置
检查是否只有共享出去的文件被加密 。
激活/破解
检查中招之前是否有下载未知激活工具或者破解软件 。
僵尸网络
僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马 , 可通过使用杀毒软件进行查杀进行判断 。
第三方账户
检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户 。 包括远程桌面、数据库等涉及到口令的软件 。
二、中了.dragon后缀勒索病毒文件怎么恢复?
此后缀文件的修复成功率大概在95%~100%之间 。
1.如果文件不急需 , 可以先备份等黑客被抓或良心发现 , 自行发布解密工具 , 但是希望很渺茫 。
2.如果文件急需 , 可以添加91数据恢复的技术服务号(shujuxf) , 发送文件样本进行免费咨询数据恢复方案 。
三、恢复案例介绍:
1.被加密数据情况
一台业务服务器 , 被加密的文件数据量约6万个 , 数据量大约500G+ 。
【数据恢复案例】陕西某医药公司服务器感染.dragon勒索病毒恢复
文章图片
【数据恢复案例】陕西某医药公司服务器感染.dragon勒索病毒恢复
文章图片
2.数据恢复完成情况
数据完成恢复 , 一共6万个文件 , 只有8个文件未恢复 , 都是无关紧要的文件 , 恢复率等于100% 。 恢复的文件均可以正常打开及使用 。
【数据恢复案例】陕西某医药公司服务器感染.dragon勒索病毒恢复