图片展示
暂无数据

.locked勒索病毒

 

 病毒家族 Tellyouthepass变种
病毒别名 locked
影响系统 Windows、Linux
出现时间 2021年底

01

.locked勒索病毒中毒后表现

 

 

病毒会加密数据库,文档,音视频等三百多种文件类型。

加密系统包括windows和linux。

linux加密后如下图:

02

.locked勒索病毒生成文件信息 

 

 

README.html

I am so sorry ! All your files have been encryptd by RSA-1024 and AES-256 due to a computer security problems.
If you think your data is very important .The only way to decrypt your file is to buy my decrytion tool .
else you can delete your encrypted data or reinstall your system.

Your personid :
*******************************************

Decrytion do as follows:
1. if you not own bitcoin,you can buy it online on some websites. like https://localbitcoins.net/ or https://www.coinbase.com/ .
2. send 0.1 btc to my wallet address ******.
3. send your btc transfer screenshots and your persionid to my email service@goodluckday.xyz . i will send you decrytion tool.


Tips:
1.don't rename your file
2.you can try some software to decrytion . but finally you will kown it's vain .
3.if any way can't to contact to me .you can try send me bitcoin and paste your email in the transfer information. i will contact you and send you decrytion tools.


Anything you want to help . please send mail to my email service@goodluckday.xyz.
Have a nice day .

03

.locked扩展名勒索病毒其他信息

 

病毒以GO语言编写,单线程执行,凭PersonID获得唯一RSA私钥.

此类型并非早期lock或locky勒索病毒家族,加密机制及解密方法均与lock或locky不相同。

 

2022年5月新出现扩展名为._locked

勒索信文件how_to_decrypt.hta 如下:

 

 

ENCRYPTED

THE ENTIRE NETWORK IS ENCRYPTED
YOUR BUSINESS IS LOSING MONEY
 

▲All documents, databases, backups and other critical data were encrypted and leaked

▲The program uses a secure AES algorithm, which makes decryption impossible without contacting us

▲If you refuse to negotiate, the data will be auctioned off

 

To recover your data, please send your ID to the contact below

#ID ********-****-********

@E-mail maliflynanth@aol.com

 

The price depends on how soon you will contact us                      Need help?

●Don't doubt

You can decrypt 3 files for free as a guarantee

●Don't waste time

Decryption price increases every hour

●Don't contact resellers

They resell our services at a premium

●Don't recover files

Additional recovery software will damage your data

 

04

.locked后缀病毒截取到的工具

 

网友投稿解密工具截图

 

.locked后缀勒索病毒相关信息

GR Tips

发现中毒后的紧急处理建议

 

 

  1. 第一时间断开网络
    1. 阻断设备与外部入侵者的网络连接,防止设备和数据被进一步破坏。
    2. 阻断设备内网传播的途径。

  2. 谨慎重启或关机
    1. 中毒设备保持运行状态,病毒在运行时盲目重启或关机,可能会导致正在加密的数据遭到永久性丢失。
    2. 首先检查核心数据(如数据库、可用备份)被破坏情况;
      1. 如果还没有被感染则立刻关机,通过硬盘外挂到未感染病毒的设备,然后安全拷贝出数据。
      2. 如果被感染则保持开机断网状态,确保病毒无法横向传播的情况下,寻求专业数据恢复和安全机构根据情况进一步指导处理。

  3. 内网其他未中毒设备:全部紧急断网,一台一台检查(禁止风险进程、启动项)、核心数据离线备份、检查日志保留可疑记录、全盘查杀病毒保留可疑样本,在紧急响应完成后,根据保留信息溯源或分析安全漏洞。

GR Tips

寻求专业救援前准备

 

 

根据勒索病毒的计算机数据加密原理,国瑞团队修复或者解密被加密数据,不限任何扩展名,但需要针对不同病毒家族、版本,了解病毒的特性和加密率,用来决策采取对应的处理方法手段。

所以,当您寻求国瑞团队救援数据或其他专业数据恢复或安全机构的帮助之前,最好掌握一些信息,提前介绍给专业人员,以便我们更快速准确判断和解决灾难事件。

  1. 数据被加密后的形态(如扩展名),数据被加密起始时间,发现中毒时间。
  2. 中毒设备数量,包括服务器数量和PC数量,设备是否断网/重启/关机等状态。
  3. 核心数据、必须恢复数据所在的设备情况、数量,比如一台数据库服务器、一台文件服务器、两台附件服务器等。
    核心数据服务器上,分区数量、分区空间使用量,被加密文件的总数量(比如几百个、几万个、百万级),核心数据大小(比如:数据库总共20个、总大小1T、最大的库100G等),数据备份损失情况,是否有未被加密文件情况。
  4. 阅读上面发现中毒后的紧急处理建议,有条件可以做如下操作:
    1. 提取提供病毒样本、攻击工具样本、被加密文件样本(比如核心数据库.mdf文件或小的.txt\.jpg\.doc\.log文件等)、勒索信息样本(一般是病毒在文件夹里生成的txt文件)等信息。
    2. 提供远程权限(windows尽量使用RDP外的第三方工具),以便专业人员第一时间直接登录设备检查详细情况。
  5. 时间充裕可以立即将被加密数据用移动存储设备或异机设备完整备份一份,确保后期处理数据不在唯一数据样本上操作,因为一旦操作失误就可能永久丢失。

—— 联系我们    Contact Us ——

24小时应急响应电话:15021662155 (微信同号)

 serve@grit.com.cn

样本提交 2012 - 2020 Copyright © 国瑞IT安全服务中心 沪ICP备09036178号 

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了