勒索病毒加密原理（.lockfiles勒索病毒解密）

近日接到有客户提交的被.lockfiles勒索病毒加密的数据库，经过分析 MDF DBF文件等 是全加密的无法修复，但是备份文件 加密较少 可以进行有损恢复，遇到此类案例不要放弃。

锁定文件可以正确识别为MedusaLocker勒索软件类型的感染。

Lockfiles将其特定的“ .lockfiles”扩展名添加到每个文件的名称中。例如，名为“ my_photo.jpeg”的照片将被转换为“ my_photo.jpeg.lockfiles ”，在名为“ report.xlsx ”的Excel表中进行报告–变为“ report.xlsx.lockfiles ”，依此类推。

Recovery_Instructions.html文件是赎金记录，可以在包含加密文件的每个文件夹中找到。在其中，您可以找到有关联系Lockfiles勒索软件开发人员的方式的信息，以及其他一些信息。在赎金通知书中，通常会有一条说明，说明有关购买解密工具的信息。该解密工具由勒索软件开发人员创建。

这是锁文件的摘要：

名称 勒索文件病毒

勒索软件家族1个 MedusaLocker勒索软件

扩展名 .lockfiles

勒索软件注意事项 Recovery_Instructions.html

侦查2个 勒索：Win32 / Lolkek.PA！MTB，勒索：Win32 / Zudochka.AR！MTB，木马：Win32 / Ymacco.AA4A

症状 您的文件（照片，视频，文档）具有.lockfiles扩展名，您无法打开它。

两种方法可以注入Lockfiles：电子邮件垃圾邮件和特洛伊木马。您可能会在电子邮件中看到很多消息。但是所有这些消息都是从未知的电子邮件地址发送的，而不是从这些公司熟悉的官方电子邮件发送的。所有此类字母均包含附件，该文件用作勒索软件的载体。如果您打开此文件，您的系统将被Lockfiles感染。

如果存在特洛伊木马，系统会以合法身份（例如Chrome更新）为名，在您的PC上下载并安装勒索软件，或者更新您存储在计算机中的软件。有时，特洛伊木马病毒可以被掩盖为合法程序，勒索软件将作为重要更新或一大包扩展程序提供下载，这对于正常程序功能是必不可少的。

还有第三种勒索软件注入方式，但是，它变得越来越流行。我说的是对等网络，例如torrent或eMule。没有人可以控制种子中打包的文件，因此下载后您会发现大量不同的恶意软件。如果情况迫使您从对等网络下载某些内容，请使用防病毒软件扫描每个下载的文件夹或存档。

支付赎金也是一个错误的决定。不能保证Lockfiles勒索软件开发人员会向您发送解密工具和正确的解密密钥。而且在很多情况下，勒索软件分发者欺骗了受害者，发送了错误的密钥.