最近出现大规模感染的.eking后缀病毒，该如何处理？

最近出现⼤规模感染的.eking后缀病毒，该如何处理？

最近出现多家公司我咨询，他们所在公司的服务器都感染了.eking后缀病毒，中毒后，服务器上的所有⽂件都被加密锁定，没办法正

常打开使⽤，⽽且⽂件名也被篡改成.eking后缀，导致公司业务⽆法正常开展，影响较⼤。经与他们紧密沟通及进⾏⽂件检测，根据检测的

结果，我向他们提供了相应的解决⽅案建议，已有公司按照解决⽅案的建议顺利完成了⽂件数据的恢复⼯作。

对于这个.eking后缀病毒究竟是什么来头？是通过什么⽅式传播感染的？如何预防和中毒后如何救援？让我们来⼀起进⾏了解。

什么是.eking后缀病毒？

.eking后缀后缀病毒是⼀种恶意的⽂件加密病毒，已于2020年5⽉17⽇在表⾯上被发现。攻击开始缓慢，但此后影响了全球越来越多

的⽤户。根据研究⼈员，该病毒是通过与Adobe Acrobat Crack捆绑在⼀起的洪流⽹站进⾏分发的，该⽹站⾮常流⾏，并且使病毒易于传

播。⼀旦启动了恶意有效负载，.eking后缀就开始攻击的第⼀阶段，即注⼊恶意.exe进程并获得对系统的管理特权。第⼆阶段与⽂件加密有

关。为了锁定受害者的⽂件，该病毒背后的犯罪分⼦使⽤AES加密和ID。[decphob@] .eking后缀附录。

.eking后缀病毒病毒从起源上是臭名昭著的Phobos病毒家族，该家族拥有20多个成员，包括Mamba，Phoenix和ISO病

毒。就像前辈⼀样，它模仿了Dharma家族臭名昭著的⽂件加密病毒。它对赎⾦票据使⽤相同的样式，并在逐字上提供相同的指⽰。⽬

前，.eking后缀病毒在每个包含锁定⽂件的⽂件夹中创建⼀个弹出窗⼝或⽂本⽂件。该⽂件包含两个⽤于联系⼈的电⼦邮

件：decphob@和decphob@。但是，既不建议联系罪犯也不要⽀付赎⾦。

.eking后缀

该病毒属于Phobos病毒家族

病毒/⽂件加密病毒

根据Phobos家族的历史，据信.eking后缀正在使⽤AES密码对受感染机器上的⽂件进⾏加密

病毒使⽤.eking后缀后缀锁定的⽂件。

包含不仅限于以下后缀版本

[holylolly@] .eking后缀 “，”。[digistart@] .eking后缀 “，” 。

[greed_001@] .eking后缀 “，” 。[helpmedecoding@] .eking后缀 “，” 。

[Black_Wayne@] .eking后缀 “ ，“ 。[Decryptdatafiles@] .eking后缀

”，“ 。[supp0rt@] .eking后缀 ”，“ 。[quickrecovery05@] .eking后缀 ”，“ 。

[tsec3x777@]。芯吸 “ ”[DECRYPTUKOW@] .eking后缀 “，

”[gluttony_001@] .eking后缀 “， ”[recoryfile@] .eking后缀 “，” 。[ICQ @

fartwetsquirrel]。芯吸 “” 。[jerjis@]。.eking后缀 ”，“ [holylolly@] .eking后缀

”，“[pride_001@] .eking后缀 “，” [kabura@] .eking后缀 “，”

[r4ns0m@] .eking后缀 “，” [contactjoke@] .eking后缀 “，” [moon4x4 @

] .eking后缀 “，” [hublle@] .eking后缀 “和” 。

[eight20@] .eking后缀

⽬前，该病毒是通过与Adobe Acrobat Crack捆绑在⼀起的Torrent⽹站最活跃地传播的。但是，病毒管理者

还可以利⽤开放的RDP或通过恶意垃圾邮件附件传播有效载荷

从系统中删除病毒的唯⼀可能性是使⽤专业的AV引擎进⾏彻底扫描

不幸的是，没有官⽅的.eking后缀解密器。

.eking后缀⽂件扩展名病毒已被检测为最新的Phobos病毒家族变体。据我求助的⼈说，他下载了某些软件，这是Adobe Acrobat专

门破解⼯具，不久之后，该⽂件（例如照⽚，视频，⽂档等）被锁定。

不幸的是，⽬前还没有其他⼯具可以解密由.eking后缀病毒加密的⽂件。换句话说，只有.eking后缀的开发⼈员才拥有正确的解密⼯

具。虽然，⼤多数病毒开发⼈员的问题在于，即使付款后，他们也经常不发送解密⼯具和/或密钥。简单地说，信任⽹络犯罪分⼦并向

他们⽀付赎⾦的受害者往往被骗。

.eking后缀病毒是如何感染我的计算机？

⽹络罪犯⽤于传播病毒和其他恶意软件的最常见⽅法是使⽤垃圾邮件活动，假冒软件更新程序，不可靠的下载渠道，⾮官⽅的软件激活

⼯具和特洛伊⽊马。当他们使⽤垃圾邮件活动时，他们会发送包含恶意附件或⽹站的电⼦邮件，以及旨在下载恶意⽂件的链接。⽆论哪种⽅

式，其主要⽬的都是欺骗收件⼈打开（执⾏）旨在安装恶意软件的恶意⽂件。在⼤多数情况下，附加在电⼦邮件中的恶意⽂件包括

Microsoft Office⽂档，存档⽂件（如ZIP，RAR），PDF⽂档，JavaScript⽂件和可执⾏⽂件（如.exe）。传播恶意软件的另⼀种流⾏⽅

法是通过伪造的软件更新程序。通常，⾮官⽅的第三⽅更新⼯具不会更新，修复任何已安装的软件。他们只是利⽤漏洞，某些过时软件的缺

陷来安装恶意软件或感染系统。此外，不可靠的软件下载渠道也可⽤于分发恶意软件。经常通过对等⽹络（如torrent客户端，eMule，各

种免费⽂件托管，免费软件下载⽹站和其他类似渠道）下载⽂件的⽤户下载恶意⽂件。这些⽂件在执⾏时会感染恶意软件。值得⼀提的是，

此类⽂件经常被伪装成合法，常规的⽂件。软件“破解”⼯具是⽤户寻求免费激活付费软件时使⽤的程序。但是，它们没有激活它，⽽是允

许那些⼯具安装病毒类型的恶意软件和其他恶意软件。⽊马程序，如果已安装，旨在传播各种恶意软件。简⽽⾔之，如果已经安装了这

种类型的恶意程序，则很有可能会造成其他损害。

如何保护⾃⼰免受.eking后缀病毒感染？

不应该打开不相关电⼦邮件中的链接和附件，尤其是如果它们是从未知的可疑地址收到的。在打开其内容之前，应始终仔细分析此类电⼦邮

件。只能从官⽅⽹站或通过直接链接下载软件。上⾯提到的⾮官⽅页⾯，第三⽅下载器（和安装程序）以及其他渠道，来源均不可信。此

外，正确更新和激活软件也很重要。更确切地说，应该使⽤官⽅软件开发⼈员提供的设计实现的功能（或⼯具）来完成此操作。所有其他⼯

具通常都⽤于分发恶意软件，此外，使⽤⾮官⽅的第三⽅⼯具激活许可软件是⾮法的。最后，应使⽤信誉良好的防病毒或反间谍软件定期扫

描计算机，该软件应始终是最新的。

中了. eking后缀⽂件后缀的Phobos病毒⽂件怎么恢复？

此类病毒属于：Phobos家族 ，⽬前暂时不⽀持解密.

1.如果⽂件不急需，可以先备份等⿊客被抓或良⼼发现，⾃⾏发布解密⼯具

2.如果⽂件急需，可以添加我的服务号（shujuxf），发送⽂件样本给我进⾏免费咨询数据恢复⽅案，或者寻求其它第三⽅解密服务。

预防病毒-⽇常防护建议：

预防远⽐救援重要，所以为了避免出现此类事件，强烈建议⼤家⽇常做好以下防护措施：

1．多台机器，不要使⽤相同的账号和⼝令，以免出现“⼀台沦陷，全⽹瘫痪”的惨状；

2．登录⼝令要有⾜够的长度和复杂性，并定期更换登录⼝令；

3．严格控制共享⽂件夹权限，在需要共享数据的部分，尽可能的多采取云协作的⽅式。

4．及时修补系统漏洞，同时不要忽略各种常⽤服务的安全补丁。

5．关闭⾮必要的服务和端⼝如135、139、445、3389等⾼危端⼝。

6．备份备份备份重要资料⼀定要定期隔离备份。进⾏RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的⽂件建议选

择多种⽅式来备份；

7．提⾼安全意识，不随意点击陌⽣链接、来源不明的邮件附件、陌⽣⼈通过即时通讯软件发送的⽂件，在点击或运⾏前进⾏安全扫描，尽

量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运⾏，及时对安全软件进⾏更新。