标签：文件 加密 修复 666qqz Globeimposter 恶意 病毒

Globeimposter-Alpha865qqz和666qqz这两种病毒文件都属于GlobeImposter（十二主神/十二生肖）系列勒索病毒加密软件。

旧版：Globeimposter-***865qqz ，这个后缀的病毒文件没办法通过技术修复，因为加密100%完整，无法修，只能解密恢复处理办法。（具体方案后面介绍）

新变体：Globeimposter-***666qqz，这个后缀的病毒文件属于隔断加密规则，即只是文件部分内容被加密，可以修复，具体得分析加密情况。（具体方案后面介绍）

GlobeImposter（十二主神/十二生肖）家族的勒索病毒后缀有很多，比较常见的：
.Globeimposter-Alpha865qqz
.Globeimposter-Alpha666qqz
.Globeimposter-Gamma666qqz
.Globeimposter-Beta666qqz
.Globeimposter-Zeta666qqz

病毒感染途径
1. 网络钓鱼电子邮件：单击嵌入在电子邮件中的链接，该链接将重定向到恶意网页。
2. 电子邮件附件：打开电子邮件附件并启用恶意宏；或下载嵌入了远程访问木_马（RAT）的文档；或下载包含恶意JavaScript或Windows脚本宿主（WSH）文件的ZIP文件。
3. 社交媒体：单击社交媒体帖子，即时通讯聊天等上的恶意链接。
4. 恶意广告：单击带有恶意代码的广告网站。
5. 感染程序：安装包含恶意代码的应用程序或程序。
6. 偷渡感染：访问不安全，可疑或伪造的网页；或打开或关闭弹出窗口。注意：如果将恶意JavaScript代码注入网页内容中，则可能会破坏网页。
7. 重定向系统（TDS）：单击合法网关网页上的链接，该链接会根据用户的地理位置，浏览器，操作系统或其他过滤器将用户重定向到恶意站点。
8. 自我传播：通过网络和USB驱动器将恶意代码传播到其他设备。
9. 系统漏洞：通过系统漏洞进入windows

加密文件，处理方案，有两个：

方案 1 只针对Sql Server或Oracle数据库文件进行修复，修复率在90%-99%。

方案 2 想办法解密恢复数据库和其他文件，文件内容恢复100%。

方案1手段：大部分病毒加密文件内容都是部分加密，数据库文件的结构特征，是可以通过修复技术，提取未加密的部分进行重组，但是市面上很多都是利用修库工具处理，所以修复率很难到底最佳效果。对于数据库修复有丰富经验的人会知道，其实碎片提取可以人工做得更精细，很多时候能达到100%修复。

方案2手段：100%解密恢复电脑中所有的文件，按照技术推论可以进行暴力破解，但是破解的时间需要很多，几乎没有人会愿意等待那么久的时间，最稳妥的方案就是通过样本评估获得秘钥来批量解密恢复处理。

根据不同的感染环境和需求会有更合适的处理恢复方案技术v服务号shuju187，如果你的电脑中了病毒，第一时间是断网（拔网线）或关机，来保护数据。

因为中病毒的数据也是值得保护的（如果需要恢复的话）。很多人觉得文件被加密的无所谓了，但是往往会出现更多意外，导致文件无法恢复，或者代价更高，这种案例数不胜数。

还有不要尝试去改文件的病毒名称，来还原文件，这是没用的，病毒已经通过算法加密了文件内容，无法正常打开的。而且这种行为还会带来二次加密的风险。

如果文件不重要，可以格式化重装系统。

标签：文件,加密,修复,666qqz,Globeimposter,恶意,病毒
来源： https://blog.51cto.com/u_14073075/2693213

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。