.Cao-Ni-Ma4444勒索病毒首次出现国瑞IT已经掌握处理方法

根据国瑞IT中心监测，2019年1月21日GANDCRAB出现最新变种.Cao-Ni-Ma4444，本次变种连所有文件名都加密，目前国瑞IT已经可以破解此次病毒变种！

病毒名称：GlobeImposter勒索家族.Cao-Ni-Ma4444后缀勒索病毒

病毒类型：.Cao-Ni-Ma4444后缀勒索病毒

作恶手法：AES或 RSA算法批量加密上百种后缀文件类型或者应用程序，并且把原来的文件名为.Cao-Ni-Ma4444后缀

危险等级：★★★★★ （最高级别） 

入侵手段：远程控制协议漏洞（RDP弱口令），远程密码泄露。 

病毒特征：从勒索病毒样本层面看，此次的GlobeImposter勒索软件在代码上进行了一些改变。如以往该家族样本在加密之前会结束诸如”sql”，“outlook”，“excel”、”word”等进程，而此次的勒索病毒则没有这些对进程的检测的代码。该次的勒索病毒使用了RSA AES加密方式，其中AES密钥的生成方式并不是通过传统的随机函数等生成，而是通过CoCreateGuid函数生成全局唯一标识符，并将该标识符做为AES加密算法的secret key。

威海市某科技公司工作人员日常监测时发现服务器财务系统的所有文件全都无法运行，并且每个文件后面都加了.Cao-Ni-Ma4444后缀。严重影响了公司的正常工作秩序

公司当即组织山东驻场工程师们研究新型病毒解决方案，并派遣正在烟台市处理问题的工程师先遣赶往客户公司，提取病毒样本，协助客户调试备份，于次日凌晨成功攻克最新.Cao-Ni-Ma4444后缀病毒，在2小时内为客户解决了问题，得到了客户好评！国瑞IT专业努力下，.Cao-Ni-Ma4444勒索病毒解密成功！文件100%恢复，有中毒的请联系国瑞IT。 

如何预防：大家自己对症下药，先上防御杀毒，把历年所有未打齐的安全补丁打上（如果有条件还是上windows server 2016)，修改远程控制账户密码，做好密码的管理工作，异地备份数据，异地备份数据，异地备份数据!

很多的人都喜欢用恢复软件尝试文件，其实这样做是徒劳的，不仅无法恢复，反而会损坏文件本身。最佳方案是根据我上面所说的来做，以及寻找专业数据恢复公司，才是最佳方案。

国瑞IT长期以来从事大数据分析及软件开发，针对勒索病毒我可提供解决方案：

1.数据恢复：Mysql  Oracle SqlServer 等等数据库专业恢复。

2.数据解密：数据可100%恢复正常。