前言：案例简介

该勒索病毒使用Go语言编写，会通过永恒之蓝漏洞传播自身，同时加密计算机中的重要文件，将文件后缀修改为.locked，之后向受害用户索要赎金，根据其加密后缀将其称为locked勒索病毒， 最近接到很多企业咨询与求助，务必加强防范。

今日，国内某公司服务器感染了后缀.locked勒索病毒，公司的服务器文件全部被加密，急需数据恢复，否则公司运作无法进行，经联系我们爱数恢复工程师远程查看，并沟通协商了相应的解决方案，通过双方远程协同配合，最终在当天晚上顺利完整恢复数据。

一、什么是.locked勒索病毒？

.locked病毒是一种基于文件勒索病毒代码的加密病毒，隶属于国外知名的TellYouThePass勒索病毒家族。这个病毒已在主动攻击中被发现。

.locked勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。一旦在入侵后电脑系统上执行加密，locked并在文件名后附加“ .locked ”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.locked ”，“ 2.jpg ”显示为“ 2.locked ”，依此类推。locked还创建了一个名为“ README.html ”的说明文件。

二、.locked勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，该勒索病毒主要是利用2021年12月爆发的史诗级漏洞log4j进行入侵加密。

Log4j 是几乎每个 Java 应用程序或软件中都包含的无处不在的日志记录工具，所以务必请企业检查服务器上的各软件、应用程序、网站是否已经升级修复该漏洞。

三、中了.locked后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法问题，每台感染的电脑服务器文件都不一样，需要独立检测与分析中毒文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可联系我们免费咨询获取数据恢复的相关帮助。

四、恢复案例介绍：

1. 被加密数据情况

一台公司服务器，需要恢复的数据10万个+。

2. 数据恢复完成情况

数据完成恢复，客户所需的文件均已成功恢复，恢复率等于100%。

3. 恢复工期

一台服务器，我们团队在收到客户当天下单开始恢复施工，最终于当天晚上完成了全部数据的恢复。

五、如何保护自己免受勒索病毒感染？

为了防止这种情况，在下载，安装，更新软件和浏览互联网时要非常谨慎。使用直接下载链接仅从官方来源下载应用程序。第三方下载程序/安装程序通常包含恶意应用程序，因此永远不应使用这些工具。类似的规则适用于软件更新。保持已安装的应用程序和操作系统是最新的非常重要，但是，只使用官方开发人员提供的已实现的功能或工具。永远不要试图破解已安装的软件，因为软件盗版是一种网络犯罪，并且感染的风险非常高。此外，打开电子邮件附件时要非常小心。永远不应打开不相关的文件/链接以及从可疑/无法识别的电子邮件地址收到的文件/链接。应该删除这些电子邮件而不阅读。安装并运行着名的杀毒/反间谍软件套件。这些工具可以在系统受到损害之前检测并消除恶意软件。注意是计算机安全的关键。

六、防护建议

1.多台机器，不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性，并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份
4.定期检测系统和软件中的安全漏洞，及时打上补丁。
5.定期到服务器检查是否存在异常。
6.安装安全防护软件，并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。
9.保存良好的备份习惯，尽量做到每日备份，异地备份