案例简介:
近日,91数据恢复团队接到佛山某企业的400热线求助,该公司的服务器在遭遇了新型勒索病毒.fair后缀的攻击,公司的业务数据存储服务器上的数据被加密锁定,所有文件后缀均被改为.fair后缀,导致很多业务无法正常开展而停工,严重影响公司的业务发展。该公司找到91数据恢复,希望尽快协助恢复数据。根据该公司的要求,91数据恢复团队立即派出工程师团队到企业现场进行数据检测及数据恢复工作,并立即与客户沟通确定恢复方案,由于客户需要恢复的数据高达1.6T之多,经工程师团队两个通宵达旦恢复施工,最终成功恢复99.99%+的数据量,获得了客户十分满意的评价。
中毒数据情况:
一台服务器,被加密数据量一共613万+个,数据量高达1.6T:
数据恢复完成情况:
数据全部完成恢复,仅剩3个文件由于二次损坏的原因无法正常恢复,其余所有文件均已恢复,恢复率达99.99%+。
恢复工期:
一台服务器,从客户下单当天开始准备恢复工作,工程师团队连续两天天通宵达旦施工,最终于2天内后完成了全部的数据恢复,全程共耗时2天。
病毒介绍:
fair属于勒索软件家族,称为Makop。它加密数据,重命名所有加密的文件并创建赎金记录。Fair通过添加受害者的ID在文件名后附加“.fair”扩展名来重命名加密文件。例如,它将名为“1.jpg ”的文件重命名为“1.jpg.[9B83AE23] . [fairexchange@qq.com] .fair”,将“2.jpg”重命名为“2.jpg。[9B83AE23]”.[ fairexchange@qq.com] .fair”,等等。
勒索病毒的黑客团伙不能被信任,受害人即使支付了赎金也不会收到任何解密工具,这是很常见的。通常,受害者免费恢复文件的唯一方法是从备份中还原文件。同样,受害者可以防止已安装的勒索软件引起进一步的加密,可以通过从操作系统中卸载该勒索软件来完成。尽管由勒索软件加密的文件仍保持加密状态,即使不再安装在操作系统上也是如此。
