今日接到北京一家科技信息公司的求助，该公司的服务器中了勒索病毒，遭遇勒索病毒***后服务器上的全部文件被加密锁定，导致金蝶财务软件无法正常启动，且库文件名被篡改添加了***者的ID信息、邮箱以及yufl后缀，经远程查看检测，并根据检测结果与对方沟通数据修复方案，最终按照修复方案完美修复该服务器上的所有文件。那我们来了解下.yufl后缀勒索病毒，究竟是什么来头？

什么是YUFL勒索病毒？

YUFL旨在通过加密文件，更改文件名并提供两个赎金票据来阻止对文件的访问。它通过添加受害者的ID，yourfiles1 @ tuta.io电子邮件地址并以“ .YUFL ”作为扩展名来重命名文件。例如，它将名为“ 1.jpg ”的文件重命名为“ 1.jpg.id-C279F237。[yourfiles1@tuta.io] .YUFL ”，“ 2.jpg ”重命名为“ 2.jpg.id-C279F237 ” 。[ yourfiles1@tuta.io] .YUFL ”，依此类推。该勒索软件属于名为Dharma的勒索软件家族。

也称为DHARMA勒索软件1，它通过加密文件并要求支付赎金以恢复对文件的访问来修改您的文件。[yourfiles1@tuta.io] .YUFL指示yourfiles1@tuta.io作为联系勒索软件作者的渠道。

DHARMA勒索软件通过名为.YUFL的新加密病毒再次活跃。该特定病毒家族通过添加.YUFL扩展名来修改所有流行的文件类型，从而使数据绝对不可用。受害者根本无法打开他们的重要文件。勒索软件还分配其唯一的识别密钥，就像病毒家族的所有先前代表一样。一旦该文件被勒索软件加密，它将获得一个特殊的新扩展名，成为次要扩展名。该文件病毒还会生成赎金记录，向用户提供据称想要恢复数据的指令。

 

YUFL勒索病毒是如何传播感染的？

该.YUFL勒索是最常见的有效载荷滴管的方式传播。它运行最终会安装文件病毒的恶意脚本。考虑到VirusTotal数据库中提到的勒索软件的事实，该威胁在网络上活跃传播。该.YUFL勒索软件还可以通过流行的社交网络，并通过文件共享平台，促进其有效载荷文件。或者，托管在许多流行资源上的某些免费应用程序也可能被伪装成有用的工具，而它们却可能导致注入勒索软件的恶意脚本。防止.YUFL病毒***的个人注意事项非常重要！

 

如何保护自己免受YUFL勒索病毒感染？

    操作系统和已安装程序必须使用官方开发人员提供（设计）的已实现功能或工具来更新和/或激活。切勿使用第三方非官方工具，尤其是激活许可软件-这是非法的。仅应从可信赖的官方网站或通过直接链接下载软件。其他来源，工具（在上段中提到了示例）不应用于此目的。网络犯罪分子经常使用它们来分发恶意文件，程序。从可疑未知地址收到的无关电子邮件中的附件和网站链接也不应打开。通常，此类电子邮件被网络罪犯用作诱骗收件人在其计算机上安装恶意软件的工具。值得一提的是，此类电子邮件经常被伪装成重要的官方文件。此外，应使用信誉良好的最新防病毒软件或反间谍软件定期对操作系统进行威胁扫描。

中了.yufl文件后缀的Dharma家族勒索病毒文件怎么恢复？

此类勒索病毒属于：Dharma家族，此后缀文件的修复成功率大概在90%~99%之间。

1.如果文件不急需，可以先备份等***被抓或良心发现，自行发布解密工具

2.如果文件急需，可以添加服务号（shujuxf），发送文件样本进行免费咨询数据恢复方案。

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。