前言：案例简介

近日，江西一公司中了后缀.secret勒索病毒，公司的U8数据服务器数据全部中毒，所有服务器数据库文件被全部加密，公司业务运作无法进行，开展业务受到阻碍，经联系瑞安数据恢复工程师远程查看，并多次沟通协商变更了相应的解决方案，通过双方远程协同配合，最终在1天时间完整恢复数据。

一、什么是.secret勒索病毒？

secret病毒是一种基于secret勒索病毒代码的加密病毒，在主动攻击活动中已经发现了这种威胁。有几种分发技术可用于在目标操作系统上传送恶意文件，例如远程桌面爆破，垃圾邮件，损坏的软件安装程序，洪流文件，伪造的软件更新通知和被黑的网站。

secret勒索病毒以一种或另一种方式进入计算机后，它将更改Windows注册表，删除卷影副本，打开/写入/复制系统文件，产生在后台运行的factura.exe进程，加载各种模块等。

加密数据后，.secret勒索病毒还与Command＆Control服务器联系，为每个受害者发送一个RSA私钥（解密文件时需要使用它）。最终，该恶意软件会加密图片，文档，数据库，视频和其他文件，仅保留系统数据，还有其他一些例外。

一旦在目标系统上执行了.secret勒索病毒的程序，就会触发攻击的第一阶段。一旦secret文件病毒进行了初步的恶意修改，它便可以激活内置的密码模块，从而通过该模块设置数据加密过程的开始。在攻击的此阶段，secret病毒会扫描所有系统驱动器以寻找目标文件。

.secret勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查一下防范入侵方式，毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

关闭远程桌面，或者修改默认用户administrator

展开全文

共享设置

检查是否只有共享出去的文件被加密。

软件漏洞

根据系统环境，针对性进行排查，例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。

二、中了.secret后缀勒索病毒文件怎么恢复？

此后缀文件的修复成功率大概在95%~100%之间。

1.如果文件不急需，可以先备份或者直接重装。

2.如果文件急需，可以留言咨询联系，发送文件样本进行免费咨询数据恢复方案。

三、恢复案例介绍：

1. 被加密数据情况

一台U8服务器，被加密的文件数据量约3万个。

文件后缀名被改成.secret

2.数据恢复完成情况

数据完成恢复，一共接近3万个文件，只有11个文件未恢复，都是无关紧要的缓存文件，恢复率等于100%。恢复的文件均可以正常打开及使用。

3.恢复工期

一台服务器，在收到客户下单当天开始通宵执行恢复，3万个文件的数据恢复量，最终于第二天下午午完成了全部数据的恢复，耗时23小时。