【重点警惕】.locked1后缀--TellYouThePass勒索病毒家族旗下勒索病毒

前言：简介

一、什么是.locked1勒索病毒？

二、中了.locked1后缀勒索病毒文件怎么恢复？

三、系统安全防护措施建议：

前言：简介

近日，我们陆续有接到被“.locked1”病毒感染加密数据的企业咨询与求助，经研究发现，.locked1后缀勒索病毒是去年12月国外知名的locked所属的勒索病毒家族的最新型变种病毒，自去年12月该病毒出现以来，91数据恢复研究院也立即分析研究该病毒的加密数据，发现攻击者渗透了其内部网络后，会用恶意加密软件加密服务器的文件。被感染的机器中的所有文件都被添加了“.locked1”后缀，并且无法正常打开，通过后缀可确定该病毒为TellYouThePass勒索病毒家族旗下。

如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。接下来我们先来了解下.locked1勒索病毒。

一、什么是.locked1勒索病毒？

.locked1是一种勒索病毒类型的恶意软件，它通过木马或者机器的软件或网站上的漏洞渗透到系统中。一旦渗透成功，该恶意软件就会加密存储在系统上的各种文件。为此，.locked1勒索病毒使用 AES-256 加密算法，因此在加密期间会生成公钥和私钥。

.locked1勒索软件以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。

.locked1勒索病毒将扫描您的计算机以查找图像、视频以及重要的生产力文档和文件，例如 .doc、.docx、.xls、.pdf。当检测到这些文件时，勒索软件会对它们进行加密并将其扩展名更改为“.locked1”，这样您就无法再打开它们。勒索软件被设计为不引人注意，因此它可以在不被发现的情况下禁用所有系统防御并开始加密文件的过程。尽管勒索软件可以被系统忽视，但它仍然可以被用户注意到，因为勒索软件使用系统自己的资源进行加密，这会降低系统速度。勒索软件还会更改文件扩展名。因此，请注意以下迹象：系统速度变慢和文件中添加了扩展。

TellYouThePass勒索病毒自2021年出现以来，与其他勒索病毒不同的地方在于其传播的加密速度及范围非常迅速，该勒索病毒经常通过公开的软件漏洞或者未公开的零日漏洞等方式进行快速大规模的感染与加密数据，所以该病毒家族的每一次新型变种都必须引起企业的重视及加强防范与警惕。

.locked1勒索病毒是如何传播感染的？

经过我们分析中毒后的机器环境判断，.mkp勒索病毒家族基本上是通过以下几种方式入侵。

1. RDP/弱口令

远程桌面协议 (RDP : Remote Desktop Protocol) 主要用于用户远程连接并控制计算机，通常使用3389端口进行通信。当用户输入正确的用户密码，则可以直接对其远程电脑进行操作，这为攻击者提供了新的攻击面。只要拥有正确的凭证，任何人都可以登录该电脑。故攻击者可以通过工具对攻击目标进行端口扫描，如果用户开启了3389端口，并且没有相关的防范意识，使用弱密码如123456，攻击者可以进行远程连接并通过字典尝试多种方式组合，暴力破解用户名密码。一旦拥有登录权限，就可以直接投放勒索病毒并进一步横向渗透扩大影响面。

2. 安全漏洞利用

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未被授权的情况下访问或破坏系统。

漏洞利用与时间息息相关，如果攻击者利用 0day 进行攻击，那么相关的系统或者组件是极其危险的。但是在以往的勒索事件中，大多数攻击者一般采用的成熟的漏洞利用工具进行攻击，如永恒之蓝、 RIG 、 GrandSoft 等漏洞攻击包等。如果用户没有及时修复相关漏洞，很可能遭受攻击。

在过去的一年里，受疫情影响，很多人开始居家办公，由于工作方式的转化促进了远程办公工具的兴起，进而导致了远程工具相关漏洞利用攻击事件的显著增加，除了传统的office漏洞（如CVE 2012-0158、CVE 2017-11882等），一些新的漏洞利用攻击也频繁出现，如CVE-2019-19781、CVE-2019-11510等。

二、中了.locked1后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

三、系统安全防护措施建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。

以下是2022年常见传播的勒索病毒，表明勒索病毒正在呈现多样化以及变种迅速地态势发展。

后缀360勒索病毒,milovski勒索病毒,mallox勒索病毒,faust勒索病毒,FARGO3勒索病毒,lockbit勒索病毒,consultraskey勒索病毒,lockbit3.0勒索病毒,eight勒索病毒,locked勒索病毒,mkp勒索病毒,makop勒索病毒,devos勒索病毒,eking勒索病毒,Globeimposter-Alpha865qqz勒索病毒,nread勒索病毒,.Elibe勒索病毒,devos勒索病毒，.[hudsonL@cock.li].Devos勒索病毒，.[myers@cock.li].Devos勒索病毒