史詩級安全漏洞log4j的.locked勒索病毒

       華北某公司服務器感染了后綴.locked勒索病毒，公司的服務器文件全部被加密，急需數據恢復，否則公司運作無法進行，經聯系91數據恢復工程師遠程查看，并溝通協商了相應的解決方案，通過雙方遠程協同配合，最終在當天晚上順利完整恢復數據。

一、什么是.locked勒索病毒？

.locked病毒是一種基于文件勒索病毒代碼的加密病毒，隸屬于國外知名的TellYouThePass勒索病毒家族。這個病毒已在主動攻擊中被發現。

.locked勒索病毒以某種方式進入計算機后，會更改Windows注冊表、刪除卷影副本、打開/寫入/復制系統文件、生成后臺運行的進程、加載各種模塊等。一旦在入侵后電腦系統上執行加密，locked并在文件名后附加“ .locked ”擴展名。例如，最初標題為“ 1.jpg ”的文件顯示為“ 1.locked ”，“ 2.jpg ”顯示為“ 2.locked ”，依此類推。locked還創建了一個名為“ README.html ”的說明文件。

萬一不幸感染了這個勒索病毒，您可添加我們的技術服務號（sjhf91）進行免費咨詢獲取數據恢復的相關幫助。

.locked勒索病毒是如何傳播感染的？

經過分析多家公司中毒后的機器環境判斷，該勒索病毒主要是利用2021年12月爆發的史詩級漏洞log4j進行入侵加密。

Log4j 是幾乎每個 Java 應用程序或軟件中都包含的無處不在的日志記錄工具，所以務必請企業檢查服務器上的各軟件、應用程序、網站是否已經升級修復該漏洞。

二、中了.locked后綴勒索病毒文件怎么恢復？

此后綴病毒文件由于加密算法問題，每臺感染的電腦服務器文件都不一樣，需要獨立檢測與分析中毒文件的病毒特征與加密情況，才能確定最適合的恢復方案。

考慮到數據恢復需要的時間、成本、風險等因素，建議如果數據不太重要，建議直接全盤掃描殺毒后全盤格式化重裝系統，后續做好系統安全防護工作即可。如果受感染的數據確實有恢復的價值與必要性，可添加我們的技術服務號（sjhf91）免費咨詢獲取數據恢復的相關幫助。

三、恢復案例介紹：

1. 被加密數據情況

一臺公司服務器，需要恢復的數據13萬個+。

2. 數據恢復完成情況

數據完成恢復，客戶所需的文件均已成功恢復，恢復率等于100%。

3. 恢復工期

一臺服務器，我們團隊在收到客戶當天下單開始恢復施工，最終于當天晚上完成了全部數據的恢復。

預防勒索病毒-日常防護建議：

預防遠比救援重要，所以為了避免出現此類事件，強烈建議大家日常做好以下防護措施：

1．多臺機器，不要使用相同的賬號和口令，以免出現“一臺淪陷，全網癱瘓”的慘狀；

2．登錄口令要有足夠的長度和復雜性，并定期更換登錄口令；

3．嚴格控制共享文件夾權限，在需要共享數據的部分，盡可能的多采取云協作的方式。

4．及時修補系統漏洞，同時不要忽略各種常用服務的安全補丁。

5．關閉非必要的服務和端口如135、139、445、3389等高危端口。

6．備份備份備份�。�！重要資料一定要定期隔離備份。進行RAID備份、多機異地備份、混合云備份，對于涉及到機密或重要的文件建議選擇多種方式來備份；

7．提高安全意識，不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟件發送的文件，在點擊或運行前進行安全掃描，盡量從安全可信的渠道下載和安裝軟件；

8．安裝專業的安全防護軟件并確保安全監控正常開啟并運行，及時對安全軟件進行更新。