前言：简介

一、什么是.halo勒索病毒？

二、.halo勒索病毒是如何传播感染的？

三、感染.halo后缀勒索病毒建议立即做以下几件事情

四、中了.halo后缀的勒索病毒文件怎么恢复？

五、加密数据恢复情况

六、系统安全防护措施建议

前言：简介

近日，我们发现多起 .halo勒索病毒家族的攻击事件。该病毒主要针对企业的Web应用和数据库服务器发起攻击，包括Spring Boot、Weblogic、OA、财务软件等，在拿下目标设备权限后还会尝试在内网中横向移动，获取更多设备的权限，然后执行加密程序加密设备的文件。经91数据恢复研究院分析该病毒加密特征，发现halo勒索病毒属于BeijngCrypt勒索病毒家族，BeijngCrypt勒索病毒家族于 2020 开始传播，在这几年间一直保持着每年更新1-2次升级变种的频率，偶尔活跃传播，偶尔沉寂消失。

万一不幸感染了这个勒索病毒，您可添加我们的数据恢复服务号（sjhf91）免费咨询获取数据恢复的相关帮助。

接下来我们先了解一下.halo勒索病毒。

一、什么是.halo勒索病毒？

我们发现，.halo是一个勒索病毒类型程序的名称。当我们在我们的测试系统上启动一个样本时，它会加密文件并在文件名后附加“ .halo”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.halo”，“ 2.jpg ”显示为“ 2.jpg.halo”，依此类推。

攻击者会向Web应用中植入大量的WebShell，一旦成功入侵目标设备，攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户，并尝试远程登录目标机器。此外，攻击者还会使用fscan工具扫描设备所在内网，并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。

勒索病毒会绕开所有系统防御，开始加密文件的过程。在加密过程中会占用系统资源，计算机运行速度会变慢，但由于种种原因用户可能不会察觉（比如休息日、深夜等），最显著的特征是文件的后缀扩展名变更为“.halo”。

二、.halo勒索病毒是如何传播感染的？

经过我们分析中毒后的机器环境判断，BeijngCrypt勒索病毒家族基本上是通过以下两种方式入侵。

远程桌面口令爆破

关闭远程桌面，或者修改默认用户administrator。

数据库弱口令攻击

检查数据库的sa用户的密码复杂度。

三、感染.halo后缀勒索病毒建议立即做以下几件事情

如果服务器不幸感染了勒索病毒，建议立即采取以下措施：

断网连接：将感染病毒的设备断开互联网连接；

备份数据：如果可能，请确保将数据备份到一个安全的地方，以防止数据丢失。

清除病毒：使用专业的反病毒软件扫描并删除病毒。如果不确定如何操作，建议寻求专业的IT技术支持。

更新安全性：更新操作系统和安全软件，以提高服务器的安全性。

数据恢复：如需数据恢复，寻求专业数据恢复公司的帮助，千万不要擅自进行文件后缀修改或者使用各种数据恢复软件进行操作，这将会二次破坏文件内容，可能导致后期数据无法恢复。

四、中了.halo后缀的勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法问题，每台感染的电脑服务器文件都不一样，需要独立检测与分析中毒文件的病毒特征与加密情况，才能确定最适合的修复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

五、加密数据恢复情况

一台服务器，被加密的文件有4万+个，主要是恢复速达软件的业务数据库文件。

数据恢复完成情况：

被加密的文件，除了4个c盘系统缓存文件以外，其它所有文件均100%恢复。恢复完成的文件均可以正常打开及使用。

六、系统安全防护措施建议

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

①　及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②　尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③　不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④　企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤　数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等，避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥　敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦　尽量关闭不必要的文件共享。

⑧　提高安全运维人员职业素养，定期进行木马病毒查杀。

2023年BeijngCrypt勒索病毒家族最新变种之.halo勒索病毒相关推荐

Phobos病毒家族最新变种.faust后缀勒索病毒活跃传播
目录前言:简介一.什么是.faust勒索病毒? 二..faust勒索病毒是如何传播感染的? 三.中了.faust后缀勒索病毒文件怎么恢复? 四.加密数据恢复案例五.以下是预防faust勒索病毒安 ...
dbused StartMiner最新变种 cpu爆满挖矿病毒 redis漏洞手动查杀流程
上图是top之后的特征如果是生产服务器建议还是直接重新装一台快一点这病毒有可能是两层(可能我中了两次),第一层是用他注入进来的redis对应的用户来挖矿,例如我的是confluence,你把他清空 ...
Mallox勒索病毒最新变种.malox勒索病毒来袭，如何恢复受感染的数据？
Mallox勒索病毒是一种针对计算机系统的恶意软件,能够加密受感染计算机上的文件.最近,新的Mallox病毒变种.malox勒索病毒被发现并引起了关注,.malox勒索病毒这个后缀已经是Mallox勒 ...
勒索预警，近期一大波新型勒索病毒来袭
点击蓝字关注我们目前勒索病毒仍然是全球最大的威胁,最近一年针对企业的勒索病毒攻击越来越多,大部分勒索病毒是无法解密的,一定要保持高度的重视,近期又有一大波新型勒索病毒来袭...... HildaCr ...
【转载】Globelmposter勒索病毒最新变种预警
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666.Zeus666.Aphrodite666.Apollon666等,目前国内已有多家大型医院率先发现 ...
【转载】撒旦（Satan 4.2）勒索病毒最新变种加解密分析
[转载]原文来自:https://bbs.kafan.cn/thread-2135007-1-1.html 一.概述近日,腾讯御见威胁情报中心检测到一大批的服务器被入侵,入侵后被植入勒索病毒.经过分 ...
RDP服务针对性攻击、钓鱼邮件攻击和勒索病毒家族Phobos研究
第一部分 RDP服务针对性攻击.钓鱼邮件攻击 Phobos勒索软件家族于2019年初被发现,并不断更新病毒变种.此变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件.此勒索软件 ...
【重点警惕】.locked1后缀--TellYouThePass勒索病毒家族旗下勒索病毒
目录前言:简介一.什么是.locked1勒索病毒? 二.中了.locked1后缀勒索病毒文件怎么恢复? 三.系统安全防护措施建议: 前言:简介近日,我们陆续有接到被".locked1& ...
【转】2019上半年勒索病毒家族概览
看图移步原文截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的"蠕虫式"爆发,如今的勒索病毒攻击活动越发具有目标性.隐蔽性,攻击者通常会破坏入侵过程留下的 ...

2023年BeijngCrypt勒索病毒家族最新变种之.halo勒索病毒

前言：简介

一、什么是.halo勒索病毒？

二、.halo勒索病毒是如何传播感染的？

三、感染.halo后缀勒索病毒建议立即做以下几件事情

四、中了.halo后缀的勒索病毒文件怎么恢复？

五、加密数据恢复情况

六、系统安全防护措施建议

2023年BeijngCrypt勒索病毒家族最新变种之.halo勒索病毒相关推荐

最新文章

热门文章