前言：简介

.[hero77@cock.li].Elbie后缀勒索病毒是国外知名勒索病毒家族Phobos的新型传播病毒，最近已经接到一些公司的咨询与求助，请各公司务必加强防范。

幸运的是，作为国内较早发现及研究该病毒加密特征及入侵方式研究的团队，因此目前此后缀我们可以实现的数据恢复率较高，基本可以达到完美恢复状态，我们也积累了较多的成功恢复案例，有需要的可以联系91数据恢复团队咨询，下面我们来分析看看这个.[hero77@cock.li].Elbie后缀勒索病毒。

如需恢复数据，可关注91数据恢复进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个.Elbie后缀勒索病毒。

一、什么是.Elbie勒索病毒？

.[hero77@cock.li].Elbie勒索病毒也称为Phobos勒索软件，它通过加密文件并要求支付赎金以恢复对文件的访问来修改您的文件。

Phobos勒索病毒家族通过名为.[hero77@cock.li].Elbie的新加密病毒再次活跃。该特定的病毒家族通过添加.[hero77@cock.li].Elbie扩展名来修改所有流行的文件类型，从而使数据绝对不可用。受害人根本无法打开他们的重要文件。勒索软件还分配其唯一的识别密钥，就像病毒家族的所有先前代表一样。一旦该文件被勒索软件加密，它将获得一个特殊的新扩展名，成为次要扩展名。

加密数据后，.[hero77@cock.li].Elbie勒索病毒还与Command＆Control 服务器联系，为每个受害者发送一个RSA私钥。最终，该恶意软件会加密图片，文档，数据库，视频和其他文件，仅保留系统数据，还有其他一些例外。

与该病毒同类的后缀病毒还有以下各种后缀，都是同一个病毒家族的，请务必注意防范：

.[xats@privatemail.com].Elbie

.[helprecoverthis@mailfence.com].Elbie

.[hero77@cock.li].Elbie

.[helprecoverthis@mailfence.com].Elbie

[recoversupportman@firemail.cc].Elbie

.Elbie勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

二、中了.Elbie后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可关注91数据恢复进行免费咨询获取数据恢复的相关帮助。

三、恢复案例介绍：

1. 被加密数据情况

客户的业务软件服务器，被加密的文件有8万个，主要需恢复业务软件的数据库文件。

2. 数据恢复完成情况

数据完成恢复，8万个文件，全部数据文件包括数据库文件均全部100%恢复。恢复完成的文件均可以正常打开及使用。

四、系统安全防护措施建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

①及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦尽量关闭不必要的文件共享。

⑧提高安全运维人员职业素养，定期进行木马病毒查杀。