X3M勒索病毒.x3m后缀数据恢复方案

X3M勒索病毒相关情报

       该勒索病毒家族的定名比较混乱，也常被称作CryptON、Nemesis、Cry36等。我们称其为X3M勒索病毒是因为其加密文件后添加的后缀使用过x3m（该后缀还被Globe勒索病毒家族使用过）。

       该勒索病毒从2017年开始传播，之前国内传播量极少，但在本月开始该勒索病毒在国内的传播量开始上涨。目前在国内的传播主要还是通过弱口令爆破获取用户机器远程桌面密码，手动投毒。

X3M勒索病毒提示信息

中毒特征：<原文件名>.<随机字符串ID>.<邮件地址>.x3m

勒索信息：### DECRYPT MY FILES ###.txt

DECRYPT-MY-FILES.txt   HOW TO DECRYPT FILES.htm

特征示例： readme.txt.id16e86dc7[unlock@cock.li].x3m

特征后缀收集： .x3m .nemesis .x3m-pro .X3M .mf8y3 .nem2end

处置方案

1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡;

2、切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问；

3、查找攻击源：手工抓包分析或借助态势感知类产品分析，确认全网感染数量；

4、查杀病毒；

5、设置复杂密码：如果主机账号使用简单密码，建议重置为高强度的密码。

安全建议

1、不从不明网站下载相关的软件，不要点击来源不明的邮件以及附件；

2、及时给电脑打补丁，修复漏洞；

3、修改密码：设置主机账号密码为高强度的密码；

4、对重要的数据文件定期进行非本地备份；

5、关闭或通过安全组限制不必要的文件共享权限以及端口，如：445、3389等。