目录

前言：案例简介

一、什么是.fc勒索病毒？

二、中了.fc后缀勒索病毒文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据情况

2. 数据恢复完成情况

系统安全防护措施建议：

前言：案例简介

.fc后缀勒索病毒与前段时间大肆传播的.360后缀勒索病毒都属于BeijngCrypt勒索病毒家族，最近我们已经接到一些公司的咨询与求助，请各企业务必加强防范。

自该.fc后缀勒索病毒爆发以来，我们团队深入研究.fc病毒的加密数据，因该BeijngCrypt勒索病毒家族依然存在加密程序缺陷，而导致有一部分客户即使支付赎金购买解密密钥依然无法成功解密数据库文件，导致企业产生了更加惨重的损失。经我们团队检测分析大量的服务器加密文件及成功恢复案例总结分析，目前已研究出可通过事前专业技术检测确保数据库文件100%恢复的检测方案。如有恢复需求，可添加我们的技术服务号（shujuxf）咨询。接以下我们先来了解下.fc勒索病毒。

一、什么是.fc勒索病毒？

.fc后缀勒索病毒是一种基于文件勒索病毒代码的加密病毒。这种威胁已在主动攻击中发现。有多种分发技术可用于在目标操作系统上传送恶意文件，例如远程桌面爆破、垃圾邮件、损坏的软件安装程序、torrent 文件、虚假软件更新通知和被黑网站。

.fc勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、加载各种模块等。加密数据后，文件勒索病毒还会联系命令与控制服务器。最终，恶意软件会对图片、文档、数据库、视频和其他文件进行加密，只保留系统数据，其他一些例外。

一旦.fc勒索病毒程序在目标系统上执行，就会触发第一阶段的攻击。一旦.fc勒索病毒进行了初步的恶意修改，它就可以激活内置的密码模块，通过该模块设置开始数据加密过程。在攻击的这个阶段，.fc 后缀勒索病毒会扫描和加密所有系统驱动器中的目标文件。

.fc，.360，.520等勒索病毒感染对于大多数杀毒软件识别来说可能非常具有挑战性，因为文件加密过程完成后不会损坏文件。因此，您的杀毒软件不太可能警告您系统后台正在进行文件加密过程。这是因为，实际上，加密程序是一种被广泛使用的数据保护技术，一般情况下不会造成文件损坏，所以杀毒软件都不会阻止这个过程，这也是为什么很多受害者反馈机器上有运行安全防护软件，但是却没有拦截住此文件加密行为。

!_INFO.txt说明文件内容：

WARNING! YOUR FILES ARE ENCRYPTED!

Don’t worry, your files are safe, provided that you are willing to pay the ransom.

Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!

The only way to decrypt your files safely is to buy the special decryption software from us.

Before paying you can send us up to 2 files for free decryption as guarantee.

Send pictures, text files. (files no more than 1mb)

You can contact us with the following email

fcrecover@mailfence.com

fcsupport@cock.li

Send us this ID or this file in first email

ID: DRdMC4VHVSnekjj6D9QTDH2Aol409/nzN1j35R29xB8=:5de572c910c92226c5604da3900f06e7f217e3d746ef22d0a3053acd93645f9c

.fc勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

二、中了.fc后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

三、恢复案例介绍：

1. 被加密数据情况

客户的U8软件服务器感染了.fc后缀勒索病毒，被加密的文件有17万+个，主要需恢复U8软件的数据库文件。

2. 数据恢复完成情况

数据完成恢复，17万+个文件，除了有2个无用的快捷方式文件以外，其它文件包括U8数据库文件均全部100%恢复。恢复完成的文件均可以正常打开及使用。

系统安全防护措施建议：

①　及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②　尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③　不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④　企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤　数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥　敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦　尽量关闭不必要的文件共享。

⑧　提高安全运维人员职业素养，定期进行木马病毒查杀。