Eking 是一种什么样的恶意软件？

Eking 属于Phobos勒索软件家族。它加密文件，重命名它们，并生成大量勒索信息。Eking 通过添加受害者的 ID、decphob@tuta.io 电子邮件地址并将“ .eking ”扩展名附加到文件名来重命名文件。Phobos

Eking（“ .eking ”扩展名）加密文件截图：

勒索软件是如何感染我的电脑的？

网络罪犯传播勒索软件和其他恶意软件的一些最常见方式是通过垃圾邮件活动、虚假软件更新程序、不受信任的下载渠道、非官方软件激活工具和木马程序。他们利用垃圾邮件活动发送包含恶意附件或旨在下载危险文件的网站链接的电子邮件。

他们的主要目标是欺骗收件人打开（执行）恶意文件，然后安装恶意软件。这些文件通常是 Microsoft Office 文档、存档文件（ZIP、RAR）、PDF 文档、JavaScript 文件和可执行文件（例如 .exe）。恶意软件也通过假冒的软件更新程序传播。

通常，非官方的第三方更新工具不会更新/修复任何已安装的软件。他们只是通过利用过时软件的错误/缺陷来安装恶意软件或感染系统。此外，不受信任的软件下载渠道也可以传播恶意软件。

Torrent 客户端、eMule、免费文件托管站点、免费软件下载网站和其他类似渠道等点对点网络通常会导致恶意文件的下载。执行时，这些文件会用恶意软件感染计算机。请注意，这些文件通常伪装成合法的和常规的。

寻求免费激活付费软件的人会使用软件“破解”程序，但他们通常会安装勒索软件类型和其他恶意软件。特洛伊木马在安装时会传播恶意软件 - 如果已经安装了此类恶意程序，很可能会造成额外的损害。

如何保护自己免受勒索软件感染

不要打开不相关电子邮件中的链接或附件，尤其是当邮件来自未知、可疑地址时。软件只能从官方网站和通过直接链接下载。非官方网页、第三方下载器/安装器和其他渠道/来源（如上所述）不应被信任。

使用官方软件开发人员提供的已实现功能/工具正确更新和激活软件。其他工具通常用于分发恶意软件，此外，使用非官方的第三方工具激活许可软件是非法的。

使用信誉良好的防病毒或反间谍软件扫描您的系统并保持更新。如果您的计算机已经感染eking,我们建议使用适用于 Windows的Combo Cleaner Antiviris运行扫描以自动消除此勒索软件。

Eking文本文件（“ info.txt ”）截图：

此文件中的文本：

您的 PC 已被勒索软件感染。如果您想恢复它们，请联系下面的地址。

电子邮箱联系方式 - decphob@tuta.io / decphob@protonmail.com

如果 24 小时内没有答复。尝试通过 Sonar 联系我们。

下载 TOR 浏览器

hxxps://www.torproject.org/download/

使用 TOR 浏览器复制并粘贴以下 URL：

hxxp://kcxb2moqaw76xrhv.onion/

注册一个帐户并通过我们的 ID 给我们发消息：decphob

如果 TOR 链接不起作用，请转到 hxxps://onion.live

切勿重命名加密文件，这可能会永久损坏您的文件

Eking 恶意进程在任务管理器中作为“ Battleships ”运行（其名称可能有所不同）：

收到eking勒索病毒攻击后该怎么办

隔离受感染的设备：

一些勒索软件类型的感染旨在加密外部存储设备中的文件，感染它们，甚至传播到整个本地网络。因此，尽快隔离被感染的设备（计算机）非常重要。

第 1 步：断开互联网连接。

断开计算机与互联网连接的最简单方法是从主板上拔下以太网电缆，但是，某些设备是通过无线网络连接的，对于某些用户（尤其是那些不是特别精通技术的用户）来说，断开电缆可能看起来麻烦。因此，您也可以通过控制面板手动断开系统：

进入“控制面板”，点击屏幕右上角的搜索栏，进入“网络和共享中心”，选择搜索结果：

点击窗口左上角的“更改适配器设置”选项：

右键单击每个连接点并选择“禁用”。一旦禁用，系统将不再连接到互联网。要重新启用连接点，只需再次右键单击并选择“启用”。

第 2 步：拔下所有存储设备。

如上所述，勒索软件可能会加密数据并渗透到连接到计算机的所有存储设备。因此，应立即断开所有外部存储设备（闪存驱动器、移动硬盘等）的连接，但是，我们强烈建议您在断开连接之前弹出每个设备，以防止数据损坏：

导航到“我的电脑”，右键单击每个连接的设备，然后选择“弹出”：

第 3 步：注销云存储帐户。

一些勒索软件类型可能能够劫持处理存储在“云”中的数据的软件。因此，数据可能已损坏/加密。因此，您应该在浏览器和其他相关软件中注销所有云存储帐户。您还应该考虑暂时卸载云管理软件，直到感染被完全清除。

识别勒索软件感染：

要正确处理感染，必须首先识别它。一些勒索软件感染使用勒索要求消息作为介绍（请参阅下面的 WALDO 勒索软件文本文件）。

然而，这种情况很少见。在大多数情况下，勒索软件感染会传递更直接的消息，简单地说明数据已加密，受害者必须支付某种赎金。请注意，勒索软件类型的感染通常会生成具有不同文件名的消息（例如，“ _readme.txt ”、“ READ-ME.txt ”、“ DECRYPTION_INSTRUCTIONS.txt ”、“ DECRYPT_FILES.html””等）。因此，使用勒索消息的名称似乎是识别感染的好方法。问题是这些名称中的大多数都是通用的，有些感染使用相同的名称，即使传递的消息是不同并且感染本身是无关的。因此，单独使用消息文件名可能是无效的，甚至会导致永久性数据丢失（例如，通过尝试使用为不同的勒索软件感染设计的工具解密数据，用户很可能最终永久损坏即使使用正确的工具，文件和解密也将不再可能）。

识别勒索软件感染的另一种方法是检查附加到每个加密文件的文件扩展名。勒索软件感染通常以它们附加的扩展名命名（请参阅下面由 Qewe 勒索软件加密的文件）。

但是，此方法仅在附加的扩展名是唯一的时才有效——许多勒索软件感染附加了通用扩展名（例如，“. encrypted ”、“ .enc ”、“ .crypted ”、“. locked ”等）。在这些情况下，无法通过其附加扩展名识别勒索软件。如何预防服务器被攻击

1. 安装杀毒软件：安装杀毒软件可以有效防止病毒和恶意软件的传播，从而有效地预防服务器被勒索病毒攻击。

2. 定期备份：定期备份服务器上的数据，如果服务器被勒索病毒攻击，可以使用备份数据恢复。

3. 强化系统安全：及时更新操作系统和软件，并定期检查系统安全，以确保系统安全漏洞不被利用。

4. 使用复杂的密码：使用复杂的密码可以有效防止攻击者破解系统，确保系统的安全。

勒索软件攻击后如何处理？

首先，不要支付赎金。无论黑客怎么说，都不能保证在支付赎金后解密密钥真的会被释放。

要做的第一件事是将攻击事件通知当局，政府有专门的网络犯罪部门来调查攻击事件。之后，检查您的备份是否受到影响，如果受到影响，只有专门从事数据恢复的公司才能恢复您的文件