什么是.520勒索病毒？

.520病毒是一种基于file勒索病毒代码的加密病毒。在主动攻击活动中已经发现了这种威胁。有几种分发技术可用于在目标操作系统上传送恶意文件，例如远程桌面爆破，垃圾邮件，损坏的软件安装程序，洪流文件，伪造的软件更新通知和被黑的网站。

.520勒索病毒以一种或另一种方式进入计算机后，它将更改Windows注册表，删除卷影副本，打开/写入/复制系统文件，产生在后台运行的factura.exe进程，加载各种模块等。

加密数据后，file勒索病毒还与Command＆Control 服务器联系，为每个受害者发送一个RSA私钥（解密文件时需要使用它）。最终，该恶意软件会加密图片，文档，数据库，视频和其他文件，仅保留系统数据，还有其他一些例外。

一旦在目标系统上执行了.520勒索病毒的程序，就会触发攻击的第一阶段。一旦520文件病毒进行了初步的恶意修改，它便可以激活内置的密码模块，从而通过该模块设置数据加密过程的开始。在攻击的此阶段，.520病毒会扫描所有系统驱动器以寻找目标文件.

分析研究该病毒加密特征，发现其跟8，9月份开始传播的.file勒索病毒的加密方式非常相似，应该是出自同一个勒索病毒家族。

感染.520后缀勒索病毒建议立马做以下几件事情:

1.将感染病毒的断开互联网连接；

2.拔下所有存储设备；

3.注销云存储帐户；

4.关闭所有共享文件夹；

5.寻求专业数据恢复公司的帮助，千万不要擅自进行文件后缀修改，这将二次破坏文件内容，可能导致后期数据无法恢复。

.520勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

关闭远程桌面，或者修改默认用户administrator

共享设置

检查是否只有共享出去的文件被加密。

激活/破解

检查中招之前是否有下载未知激活工具或者破解软件。

第三方账户

检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。

中了.520后缀勒索病毒文件怎么恢复？

此后缀文件的修复成功率大概在95%~100%之间。

1.如果文件不急需，可以先备份等黑客被抓或良心发现，自行发布解密工具，但是希望很渺茫。

2.如果文件急需，可以添加我们的技术服务号（18910108696），发送文件样本进行免费咨询数据恢复方案。

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。

您的服务器不幸中了勒索病毒，第一时间断网，备份，联系我们：18910108696，王工，微信同号，同时，提供样本文件，可以qq或者微信，后者百度云。我们第一时间为您检查文件，确定处理方案。