其他分享
首页 > 其他分享> > 【勒索病毒恢复】[wikilab@techmail.info].eking勒索病毒扩展名

【勒索病毒恢复】[wikilab@techmail.info].eking勒索病毒扩展名

作者:互联网

目录

1.[wikilab@techmail.info].eking勒索病毒介绍?

2.[wikilab@techmail.info].eking勒索病毒是如何感染我的电脑的? 

3.如何删除.[wikilab@techmail.info].eking勒索病毒?下载删除工具。 

4.如何恢复.[wikilab@techmail.info].eking勒索病毒?

​5.经常遇上的问题:

6.如何避免.[wikilab@techmail.info].eking勒索病毒进攻?


1.[wikilab@techmail.info].eking勒索病毒介绍?

Eking 属于Phobos勒索软件家族。它对文件进行加密、重命名并生成大量赎金信息。Eking 通过添加受害者的 ID、decphob@tuta.io 电子邮件地址并将“ .eking ”扩展名附加到文件名来重命名文件。例如,它将“ 1.jpg ”重命名为“ 1.jpg.id[1E857D00-2275].[wikilab@techmail.info].eking ”,“ 2.jpg ”为“ 2.jpg.id[1E857D00-2275” ].[wikilab@techmail.info].eking ”,等等。它在弹出窗口(“ info.hta ”)中显示赎金消息,并在文本文件(“ info.txt ”)中创建另一个。不幸的是,没有其他工具可以解密被 Eking 勒索软件破坏的文件——只有 Eking 的开发人员拥有有效的解密工具。请注意,勒索软件开发人员即使在付款后也不会发送解密工具/密钥。因此,信任网络犯罪分子的受害者经常被骗。通常,恢复对因勒索软件攻击而丢失的文件的访问权限的唯一方法是从备份中恢复它们。从操作系统中卸载 Eking 将阻止进一步加密,但是,即使在删除勒索软件后,已经加密的文件仍然无法访问。

一条鼓励用户支付赎金以解密受感染数据的消息的屏幕截图:

Eking解密说明(info.hta)

2.[wikilab@techmail.info].eking勒索病毒是如何感染我的电脑的? 

网络犯罪分子用来传播勒索软件和其他恶意软件的一些最常见方式是通过垃圾邮件活动、虚假软件更新程序、不受信任的下载渠道、非官方软件激活工具和特洛伊木马程序。他们使用垃圾邮件活动发送包含恶意附件或旨在下载危险文件的网站链接的电子邮件。

他们的主要目标是欺骗收件人打开(执行)恶意文件,然后安装恶意软件。这些文件通常是 Microsoft Office 文档、存档文件(ZIP、RAR)、PDF 文档、JavaScript 文件和可执行文件,例如 .exe。恶意软件还通过虚假的软件更新程序进行传播。

通常,非官方的第三方更新工具不会更新/修复任何已安装的软件。他们只是通过利用过时软件的错误/缺陷来安装恶意软件或感染系统。此外,不受信任的软件下载渠道也可以传播恶意软件。

点对点网络,例如 Torrent 客户端、eMule、免费文件托管网站、免费软件下载网站和其他类似渠道,通常会导致下载流氓文件。执行时,这些文件会用恶意软件感染计算机。请注意,这些文件通常伪装成合法和常规的。

寻求免费激活付费软件的人会使用软件“破解”程序,但他们通常会安装勒索软件和其他恶意软件。特洛伊木马在安装时传播恶意软件 - 如果已安装此类恶意程序,则可能会造成额外损害。

Eking 加密文件的屏幕截图(“ .eking ”扩展名):

由 Eking 勒索软件(.eking 扩展名)加密的文件

 Eking 文本文件(“ info.txt ”)的屏幕截图:

Eking 勒索软件文本文件 (

3.如何删除.[wikilab@techmail.info].eking勒索病毒?下载删除工具。 

常用的工具例如 360杀毒,火绒安全,金山杀毒都可以检测出.[wikilab@techmail.info].eking勒索并对其进行查杀。

大多数勒索软件类型感染使用的加密算法都非常复杂,如果正确执行加密,则只有开发人员才能恢复数据。这是因为解密需要在加密期间生成的特定密钥。没有密钥恢复数据是不可能的。在大多数情况下,网络犯罪分子将密钥存储在远程服务器上,而不是将受感染的机器用作主机。Dharma (CrySis)、Phobos 和其他高端勒索软件感染几乎完美无缺,因此在没有开发人员参与的情况下恢复加密数据是根本不可能的。尽管如此,仍有数十种勒索软件类型的感染开发不佳并包含许多缺陷(例如,为每个受害者使用相同的加密/解密密钥、本地存储的密钥等)。

4.如何恢复.[wikilab@techmail.info].eking勒索病毒?

大多数勒索软件类型感染使用的加密算法都非常复杂,如果正确执行加密,则只有开发人员才能恢复数据。这是因为解密需要在加密期间生成的特定密钥。没有密钥恢复数据是不可能的。在大多数情况下,网络犯罪分子将密钥存储在远程服务器上,而不是将受感染的机器用作主机。Dharma (CrySis)、Phobos 和其他高端勒索软件感染几乎完美无缺,因此在没有开发人员参与的情况下恢复加密数据是根本不可能的。尽管如此,仍有数十种勒索软件类型的感染开发不佳并包含许多缺陷(例如,为每个受害者使用相同的加密/解密密钥、本地存储的密钥等)。在互联网上找到正确的解密工具可能性非常低。出于这个原因,我们建议您翻阅No More Ransom Project 地址,这是识别勒索软件感染的网站并且检测当前软件有没有免费的解密软件。No More Ransom Project 网站包含一个带有搜索栏的“解密工具”部分。输入识别出的勒索软件的名称,将列出所有可用的解密器(如果有)。有需要V(data966)免费咨询!

​5.经常遇上的问题:

1.如何打开.[wikilab@techmail.info].eking”加密的文件?

基本上不可能。这些文件由.[wikilab@techmail.info].eking勒索病毒加密。勒索病毒文件的内容在解密之前不可用。

2 .[wikilab@techmail.info].eking勒索病毒文件包含重要信息。我怎样才能紧急解密它们?

如果是数据库文件可以进行修复提取,如果hi文档只能寻求密钥解密的方式

3.如果使用杀毒软件 删除.[wikilab@techmail.info].eking勒索病毒。这是否意味着该杀毒软件程序将删除我的加密文件?

当然不是。您的加密文件不会对计算机构成威胁。杀毒软件会识别和区分勒索软件威胁。

6.如何避免.[wikilab@techmail.info].eking勒索病毒进攻?

创建数据备份:

正确的文件管理和创建备份对于数据安全至关重要。因此,始终要非常小心并提前考虑。

分区管理: 我们建议您将数据存储在多个分区中,并避免将重要文件存储在包含整个操作系统的分区中。如果您遇到无法启动系统并被迫格式化安装操作系统的磁盘(在大多数情况下,这是恶意软件感染隐藏的地方)的情况,您将丢失该驱动器中存储的所有数据。这是拥有多个分区的优势:如果您将整个存储设备分配给一个分区,您将被迫删除所有内容,但是,创建多个分区并正确分配数据可以防止此类问题的发生。您可以轻松地格式化单个分区而不影响其他分区 - 因此,一个分区将被清理,而其他分区将保持不变,并且您的数据将被保存。

数据备份:最可靠的备份方法之一是使用外部存储设备并保持不插电。将您的数据复制到外部硬盘驱动器、闪存(拇指)驱动器、SSD、HDD 或任何其他存储设备,拔下它并将其存放在远离阳光和极端温度的干燥地方。然而,这种方法效率很低,因为需要定期进行数据备份和更新。您还可以使用云服务或远程服务器。在这里,需要互联网连接,并且始终存在安全漏洞的可能性,尽管这种情况非常罕见。

 避免勒索软件感染造成损害的最佳方法是定期进行最新备份。

标签:info,eking,techmail,wikilab,勒索,软件,病毒
来源: https://blog.csdn.net/qq_38513310/article/details/121770956