目录

前言：简介

         一、什么是.halo勒索病毒？

二、.halo勒索病毒是如何传播感染的？

三、感染.halo后缀勒索病毒建议立即做以下几件事情

四、中了.halo后缀的勒索病毒文件怎么恢复？

五、加密数据恢复情况

         六、系统安全防护措施建议

       近日， 我们发现多起 .halo勒索病毒家族的攻击事件。该病毒主要针对企业的Web应用和数据库服务器发起攻击，包括Spring Boot、Weblogic、OA、财务软件等，在拿下目标设备权限后还会尝试在内网中横向移动，获取更多设备的权限，然后执行加密程序加密设备的文件。经91数据恢复研究院分析该病毒加密特征，发现halo勒索病毒属于BeijngCrypt勒索病毒家族，BeijngCrypt勒索病毒家族于 2020 开始传播，在这几年间一直保持着每年更新1-2次升级变种的频率，偶尔活跃传播，偶尔沉寂消失。

       万一不幸感染了这个勒索病毒，您可添加我们的数据恢复服务号（sjhf91）免费咨询获取数据恢复的相关帮助。

       接下来我们先了解一下.halo勒索病毒。

        我们发现，.halo是一个勒索病毒类型程序的名称。当我们在我们的测试系统上启动一个样本时，它会加密文件并在文件名后附加“ .halo”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.halo”，“ 2.jpg ”显示为“ 2.jpg.halo”，依此类推。

        攻击者会向Web应用中植入大量的WebShell，一旦成功入侵目标设备，攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户，并尝试远程登录目标机器。此外，攻击者还会使用fscan工具扫描设备所在内网，并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。

        勒索病毒会绕开所有系统防御，开始加密文件的过程。在加密过程中会占用系统资源，计算机运行速度会变慢，但由于种种原因用户可能不会察觉（比如休息日、深夜等），最显著的特征是文件的后缀扩展名变更为“.halo”。

        经过我们分析中毒后的机器环境判断，BeijngCrypt勒索病毒家族基本上是通过以下两种方式入侵。

远程桌面口令爆破

    关闭远程桌面，或者修改默认用户administrator。

数据库弱口令攻击

    检查数据库的sa用户的密码复杂度。 

        如果服务器不幸感染了勒索病毒，建议立即采取以下措施：

        断网连接：将感染病毒的设备断开互联网连接；

        备份数据：如果可能，请确保将数据备份到一个安全的地方，以防止数据丢失。

        清除病毒：使用专业的反病毒软件扫描并删除病毒。如果不确定如何操作，建议寻求专业的IT技术支持。

        更新安全性：更新操作系统和安全软件，以提高服务器的安全性。

        数据恢复：如需数据恢复，寻求专业数据恢复公司的帮助，千万不要擅自进行文件后缀修改或者使用各种数据恢复软件进行操作，这将会二次破坏文件内容，可能导致后期数据无法恢复。

        此后缀病毒文件由于加密算法问题，每台感染的电脑服务器文件都不一样，需要独立检测与分析中毒文件的病毒特征与加密情况，才能确定最适合的修复方案。

        考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

一台服务器，被加密的文件有4万+个，主要是恢复速达软件的业务数据库文件。

数据恢复完成情况：

被加密的文件，除了4个c盘系统缓存文件以外，其它所有文件均100%恢复。恢复完成的文件均可以正常打开及使用。 

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

①　及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②　尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③　不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④　企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤　数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥　敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦　尽量关闭不必要的文件共享。

⑧　提高安全运维人员职业素养，定期进行木马病毒查杀。