目录

前言：简介

一、什么是.halo勒索病毒？

二、.halo勒索病毒是如何传播感染的？

三、中了.halo后缀勒索病毒文件怎么恢复？

四、系统安全防护措施建议

前言：简介

.halo后缀勒索病毒与去年活跃传播的.360后缀勒索病毒都属于BeijngCrypt勒索病毒家族,BeijngCrypt勒索病毒家族已经持续活跃了2年多了，最近我们接到一些公司的咨询与求助感染了.halo后缀勒索病毒的情况，经91数据恢复研究院研究其加密特征发现，该加密病毒属于BeijngCrypt勒索病毒家族的最新变种，请各企业务必加强防范。

如有数据恢复需求，您可添加我们的数据恢复服务号（shujuxf）。接下来我们先了解一下.halo勒索病毒。

一、什么是.halo勒索病毒？

.halo后缀勒索病毒是一种基于文件勒索病毒代码的加密病毒。这种威胁已在2023年的主动攻击中被发现。该病毒有多种分发技术可用于在目标操作系统上传送恶意文件，例如远程桌面爆破、数据库端口攻击、垃圾邮件、损坏的软件安装程序、torrent 文件、虚假软件更新通知和被黑网站。

.halo勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、加载各种模块等。加密数据后，文件勒索病毒还会联系命令与控制服务器。最终，恶意软件会对图片、文档、数据库、视频和其他文件进行加密，只保留操作系统的数据。

我们通过分析近期攻击案例发现，攻击者会向Web应用中植入大量的WebShell，而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备，攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户，并尝试远程登录目标机器。此外，攻击者还会使用fscan工具扫描设备所在内网，并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。

!_INFO.txt说明文件内容：

WARNING! YOUR FILES ARE ENCRYPTED!

Don’t worry, your files are safe, provided that you are willing to pay the ransom.

Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!

Do not rename your files. It will damage it.

The only way to decrypt your files safely is to buy the special decryption software from us.

Before paying you can send us up to 2 files for free decryption as guarantee. No database files for test.

Send pictures, text, doc files. (files no more than 1mb)

You can contact us with the following email

360recover@mailfence.com

360support@cock.li

Send us this ID or this file in first email

ID: KDdMC4VHVS4ekjj6D9QTDH2Aol409/nzN1j35R29xB8=:5de572c910c92226c5604da3900f06e7f217e3d746ef22d0a3053acd93645f9c

二、.halo勒索病毒是如何传播感染的？

经过分析多家公司感染.halo勒索病毒后的机器环境及系统日志判断，BeijngCrypt勒索病毒家族基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

三、中了.halo后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

---

四、系统安全防护措施建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

① 及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

② 尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③ 不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤ 数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥ 敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦ 尽量关闭不必要的文件共享。

⑧ 提高安全运维人员职业素养，定期进行木马病毒查杀。