其他分享
首页 > 其他分享> > 深圳某公司服务器中了.Happychoose勒索病毒,被成功修复

深圳某公司服务器中了.Happychoose勒索病毒,被成功修复

作者:互联网

 

什么是.Happychoose勒索病毒?

名称

.Happychoose病毒

威胁类型

勒索病毒,加密病毒,文件柜。

加密文件扩展名

..Happychoose

检测名称

Avast(Win32:Trojan-gen),BitDefender(Generic.Ransom.GlobeImposter.BA9433BD),ESET-NOD32(Win32 / Filecoder.FV的变体),卡巴斯基(HEUR:Trojan.Win32.Generic),完整的检测列表(病毒总数)

病征

无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名(例如,my.docx.locked)。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金(通常以比特币支付)以解锁您的文件。

分配方式

受感染的电子邮件附件(宏),洪流网站,恶意广告。

损伤

所有文件都是加密的,未经勒索无法打开。可以与勒索病毒感染一起安装其他窃取密码的木马和恶意软件感染。

 

.Happychoose是GlobeImposter勒索病毒家族的一部分 。通常,此类软件会加密文件,更改文件名并创建勒索消息。.Happychoose通过在文件名后附加“.Happychoose”扩展名来重命名文件。例如,将“1.jpg”更改为“1.jpg.Happychoose”,依此类推。它还会创建“ Decryption INFO.html”文件(包含勒索消息),并将其放入包含加密数据的每个文件夹中。然后,.Happychoose的开发人员将返回解密的文件,命名解密工具的成本,并提供有关如何付款的说明。警告受害者不要尝试删除程序(勒索病毒),运行任何防病毒工具或尝试解密文件,因为这显然会永久损坏加密文件。通常,支付赎金的受害者会被骗-即使他们已经付款,他们也不会收到解密工具/密钥。因此,永远不要相信任何网络犯罪分子,包括负责勒索病毒类型程序的人员。不幸的是,勒索病毒通常使用强大的加密算法对数据进行加密,只有开发人员才能恢复受感染的文件。唯一的解决方案是从备份中还原它们。请注意,即使受害者从操作系统中卸载了勒索病毒,文件仍然保持加密状态,但是,删除操作会阻止进一步的加密。

.Happychoose勒索病毒是如何传播感染的?

网络罪犯使用多种方法诱使人们将勒索病毒或其他恶意软件安装到操作系统上。他们发送的电子邮件包含旨在下载恶意文件或附件的网站链接。通常,他们伪装成官方或重要邮件,并希望收件人打开恶意文件/附件,然后安装恶意软件(在这种情况下为勒索病毒)。网络犯罪分子附加到其电子邮件的文件的一些示例包括Microsoft Office,PDF文档,JavaScript文件,可执行文件(.exe和其他文件)以及存档文件(例如ZIP,RAR)。恶意软件还用于通过文件/软件下载渠道分发和托管恶意文件-犯罪分子会等到有人下载并执行它们。可疑下载源/渠道的一些示例包括非官方网页,对等网络(例如torrent客户端,eMule),第三方下载器(或安装程序),免费文件托管和免费软件下载页面。据说绕过软件激活的非官方激活(“破解”)工具通常会安装恶意软件。非官方的软件更新工具以类似的方式运行-他们下载/安装恶意程序,而不是更新/修复或利用操作系统上已安装的过时软件的bug /漏洞。操作系统也会通过特洛伊木马感染,但前提是系统上已经安装了恶意程序。安装的木马通常会传播/安装其他恶意程序。第三方下载程序(或安装程序),免费文件托管和免费软件下载页面。据说绕过软件激活的非官方激活(“破解”)工具通常会安装恶意软件。非官方的软件更新工具以类似的方式运行-他们下载/安装恶意程序,而不是更新/修复或利用操作系统上已安装的过时软件的bug /漏洞。操作系统也会通过特洛伊木马感染,但前提是系统上已经安装了恶意程序。安装的木马通常会传播/安装其他恶意程序。第三方下载程序(或安装程序),免费文件托管和免费软件下载页面。据说绕过软件激活的非官方激活(“破解”)工具通常会安装恶意软件。非官方的软件更新工具以类似的方式运行-他们下载/安装恶意程序,而不是更新/修复或利用操作系统上已安装的过时软件的bug /漏洞。操作系统也会通过特洛伊木马感染,但前提是系统上已经安装了恶意程序。安装的木马通常会传播/安装其他恶意程序。非官方的软件更新工具以类似的方式运行-他们下载/安装恶意程序,而不是更新/修复或利用操作系统上已安装的过时软件的bug /漏洞。操作系统也会通过特洛伊木马感染,但前提是系统上已经安装了恶意程序。安装的木马通常会传播/安装其他恶意程序。非官方的软件更新工具以类似的方式运行-他们下载/安装恶意程序,而不是更新/修复或利用操作系统上已安装的过时软件的bug /漏洞。操作系统也会通过特洛伊木马感染,但前提是系统上已经安装了恶意程序。安装的木马通常会传播/安装其他恶意程序。

 

如何保护自己免受.Happychoose勒索病毒感染?

如果电子邮件不相关,来自未知(和/或可疑)地址的电子邮件,并且包含附件,则应忽略它。可疑地址收到的电子邮件不值得信任。这些电子邮件通常由网络罪犯发送,并用于扩散恶意软件。必须使用官方软件开发人员设计的已实现功能/工具来更新所有已安装的软件。软件和文件应从可信赖的官方网站或通过直接链接下载。经常使用各种第三方下载器,安装程序,可疑网页和其他类似来源来扩散不需要的,潜在的恶意软件。非官方激活(“破解”)工具通常用于分发恶意软件,切勿用于激活任何软件。此外,使用非官方工具绕过许可程序的激活是非法的。通过安装信誉良好的反间谍软件或防病毒软件,确保计算机安全。

 

中了.Happychoose文件后缀的勒索病毒文件怎么恢复?

此后缀文件的修复成功率大概在90%~99%之间。

1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具

2.如果文件急需,可以添加服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。

 

 

预防勒索病毒-日常防护建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;

2.登录口令要有足够的长度和复杂性,并定期更换登录口令;

3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。

4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。

5.关闭非必要的服务和端口如135、139、445、3389等高危端口。

6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;

7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;

8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。

 

标签:文件,Happychoose,恶意程序,勒索,软件,服务器,安装
来源: https://www.cnblogs.com/weixin17665780226/p/13950756.html