西安某公司中了后缀.fair勒索病毒，公司的服务器全部中毒，文件被全部加密，急需数据恢复，否则公司运作无法进行，业务受到重挫，经联系91数据恢复工程师远程查看，并沟通协商了相应的解决方案，通过双方远程协同配合，最终完整恢复数据。

 

 

.fair后缀勒索病毒特征分析：

威胁摘要：
名称	fair病毒
威胁类型	勒索软件，加密病毒，文件柜
加密文件扩展名	.fair
检测名称	Avast（Win32：MalwareX-gen [Trj]），DrWeb（*.PackedNET.470），ESET-NOD32（MSIL / GenKryptik.EXJD的变体），卡巴斯基（HEUR：*.MSIL.Taskun.gen），Microsoft（ Ransom：Win32 / Phobos.PB！MTB）
病征	无法打开计算机上存储的文件，以前的功能文件现在具有不同的扩展名（例如，my.docx.locked）。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金（通常以比特币支付）以解锁您的文件。
分配方式	受感染的电子邮件附件，洪流网站，恶意广告。
损伤	所有文件都是加密的，未经解密无法打开。可以与勒索软件感染一起安装其他窃取密码的木马和恶意软件感染。

 

fair属于勒索软件家族，称为Makop。它加密数据，重命名所有加密的文件并创建赎金记录。Fair通过添加受害者的ID在文件名后附加“.fair”扩展名来重命名加密文件。例如，它将名为“1.jpg ”的文件重命名为“1.jpg.[9B83AE23] . [fairexchange@qq.com] .fair”，将“2.jpg”重命名为“2.jpg。[9B83AE23]”.[ fairexchange@qq.com] .fair”，等等。

勒索病毒的黑客团伙不能被信任，受害人即使支付了赎金也不会收到任何解密工具，这是很常见的。通常，受害者免费恢复文件的唯一方法是从备份中还原文件。同样，受害者可以防止已安装的勒索软件引起进一步的加密，可以通过从操作系统中卸载该勒索软件来完成。尽管由勒索软件加密的文件仍保持加密状态，即使不再安装在操作系统上也是如此。

 

 

 

感染.fair后缀勒索病毒建议立马做以下几件事情:

1.将感染病毒的断开互联网连接；

2.拔下所有存储设备；

3.注销云存储帐户；

4.关闭所有共享文件夹；

5.寻求专业数据恢复公司的帮助，千万不要擅自进行文件后缀修改，这将二次破坏文件内容，可能导致后期数据无法恢复。

 

 

.fair后缀勒索病毒数据文件能否恢复？

如中毒后未擅自二次修改或操作数据文件，.fair后缀勒索病毒的数据恢复成功率可达90%~99%之间，具体可添加91数据恢复的服务号（sjhf91）进行检测查看，可根据文件检测结果获取最低成本下的数据恢复方案。

 

 

中了.fair文件后缀的勒索病毒文件该怎么办？

此后缀病毒文件由于加密算法问题，每台感染的电脑服务器文件都不一样，需要独立检测与分析中毒文件的病毒特征与加密情况，才能确定最适合的修复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后序做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加91数据恢复的服务号（sjhf91）进行咨询获取数据恢复的相关帮助。

 

系统安全防护措施：

1.多台机器，不要使用相同的账号和口令 

2.登录口令要有足够的长度和复杂性，并定期更换登录口令 

3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份 

4.定期检测系统和软件中的安全漏洞，及时打上补丁。 

5.定期到服务器检查是否存在异常。

6.安装安全防护软件，并确保其正常运行。 

7.从正规渠道下载安装软件。 

8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。 

9.保存良好的备份习惯，尽量做到每日备份，异地备份。