如何下载tp|勒索病毒怎么处理
作者: 如何下载tp
2024-03-09 20:34:25
中了勒索病毒怎么办---(教程贴持续更新) - 知乎
中了勒索病毒怎么办---(教程贴持续更新) - 知乎首发于数据恢复切换模式写文章登录/注册中了勒索病毒怎么办---(教程贴持续更新)DATASOS 1.我为什么要发这篇文章原因一:面对越来越疯狂的勒索病毒,我不能无动于衷;自2016年开始勒索病毒出现到2017年wannacry肆意传播,再到2020年WannaRen通过各大下载资源站传播。勒索病毒越来越疯狂了,给大家看一组数字。原因二:网上没有专业人士写的详细的教程贴;各大搜索引擎任意搜索下,好帖是有,但95%以上都是广告贴和水贴,甚至一些误人子弟,未经深思熟虑写的帖子。病不在他们身上,真敢随便开药,治死不偿命啊!总得有人补上这个空缺,各路大神都很忙,只有我还有时间码字。原因三:不想重复造轮子,方便别人的同时也方便自己每天都会有不少朋友通过各种渠道找到我,咨询关于勒索病毒的事情,对每个朋友我都要重复一遍基本的东西,而且还要表现得不厌其烦。其实内心已经接近崩溃,这重复得工作什么时候是个头。而写完这个帖子就可以节省很多时间,想想就觉得刺激。 2. 中勒索病毒后的正确操作姿势中毒后正确的操作步骤整体概括如上图。我们接下来详细解说每一步2.1 数据不重要 若属于这种情况那么恭喜你侥幸躲过一劫,但别得意的太早,因为如果你对安全时间不加以重视,那么迟早有一天你的重要数据会被加密,这绝非危言耸听。 2019年我亲自处理过一个典型的案子。某集团企业邮件系统被黑客攻破,但仅仅造成一台PC机中毒,IT部门抱着侥幸心理和大事化小的态度格式化重装系统并集中修改了邮箱密码,并未做其他任何安全防护工作。5个月后,整个集团20多台服务器被全部攻破数据加密。 如下图步骤1:找准中毒原因,修复薄弱环节,避免二次中毒。我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神,那就从以下几个思路入手。1.从各类网络设备的日志中查找异常(防火墙日志);2.从服务器操作系统安全日志查找异常;(windows安全日志,下图中日志被黑客清空了)3.从客户端操作系统查找异常;(客户端异常登录日志)4:利用网络上免费的病毒溯源工具查找异常。时间允许的花我后续会专门写一篇详细溯源教程配合工具使用方法,(--勒索病毒溯源分析教程贴预留位置,如有安全大牛赞助此贴或者有现成的帖子请告知-)步骤2:格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑,建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!安全防护绝对不是买一套防火墙或者装几套杀毒软件就能解决问题的。任意一个新的勒索病毒的变种就可以躲开几乎所有的杀毒软件和防火墙。这也是为什么各大厂商的杀毒软件和防火墙都在持续不断的更新自己的病毒库的原因,因为只有安全人员捕获了病毒特征才有机会识别并杀掉病毒。这意味着肯定得有一部分人要先中毒牺牲掉自己,才能引起各大杀软和防火墙公司的注意。2.2 数据重要但不紧急(这里的不紧急是指可以等上1-3年)步骤1. 通过PE模式或者安全模式进入服务器,把重要的数据备份一遍(最好是全盘备份至一个空的移动硬盘)为什么一定要在安全模式或者PE模式下,因为部分勒索病毒加密数据后会在注册表中修改开机自启动,如果你不在安全模式下或者PE模式下,那么很有可能你插上移动硬盘后你的移动硬盘里面的数据也会被加密。为什么最好是全盘备份,因为有些黑客的解密程序要用到你本地机器上勒索信的公钥。如果这些文件你备份的时候没有备份完整,即使后续出来免费的解密程序你也无法解密。步骤2. 和 步骤3 同上面的数据不重要2.3 数据重要且紧急步骤1:先断网而不是先关机。 我们从大量勒索病毒案例中分析得出,勒索病毒的黑客攻击的时间集中在晚上或者非工作日。因为晚上和非工作日不容易被发现,有充足的时间进行加密。当发现ERP服务器中毒或者金蝶用友财务服务器中勒索病毒之后,应该把中毒服务器的网线断开,如果是虚拟机可以把网卡禁用,防止横向扩展传播。不要着急关机的原因有两个 原因1:中毒服务器不关机,就有可能从内存DUMP中找到加密的私钥(我们成功用此方法找到过过密钥)这种方法找到私钥的可能性不大,但至少是一种可能。原因2:如果服务器的数据量非常大,黑客加密程序正在加密过程中突然断电,那么会导致这个文件加密不完整,彻底损坏掉。即使黑客也无法解密此类文件。这个道理很容易理解,就好比你正在编辑一个EXCEL,如果没有保存直接断电,很可能这个EXCEL再打开就会乱码。财务工作人员应该都遇到过这个问题。因为我修复过很多这种原因损坏的EXCEL。步骤2:先备份中毒后的数据而不是先杀毒企业发现服务器中毒之后往往是先装各种杀毒软件杀毒,错!!!错!!!错!!!如果发现中毒后第一时间就进行杀毒,反倒会破坏服务器中毒后的最原始状态,为后面的数据恢复和解密造成很多不便。在杀毒之前应该先做备份,如果中毒机器是虚拟机,那么就做一个克隆。如果中毒机器是物理机就先用一个空的移动硬盘进入安全模式或者PE模式将中毒机器中重要的数据先备份下。步骤3: 确定勒索病毒家族并尝试免费解密工具确定中毒的是那种类型的勒索病毒才能找相应的解密工具,如何确定自己中的是那种勒索病毒有两个比较快捷的方法,可以通过以下网站上传文件样本进行查询。网站打开之后的网站如下图,按照我标记出来的上传东西就可以上面网站对于新的勒索病毒可能无法判断,您可以把文件打个压缩包发送给到我们的邮箱hddfixer@126.com 我们可以免费协助你做这个分析。最全免费勒索病毒解密工具可以在以下几个网站找到,1:no moreransom 是一个国际的反勒索联盟组织,里面收集了很多免费的解密工具。例如很出名的GandCrab 5.2的解密程序就在这里可以下到。2: Emsisoft 是一家新西兰的防止恶意软件的公司,他们也有自己研发的免费解密工具,但大多都是针对较早期病毒的。3:卡巴斯基勒索病毒解密工具下载地址如果尝试自己的文件是否能被免费解密程序完整解密,一定要把一小部分文件拷贝到一台无关紧要的电脑上做测试。确定可以解密之后再大批量解密,且不可在原始服务器上进行解密测试,几乎所有的解密程序都是需要对文件进行写入操作的,一旦操作错误可能会导致文件彻底损坏。步骤4:寻求专业第三方数据恢复公司技术支持修复数据不知道是哪位专家给普及的常识“只要是被黑客加密的数据无人能解,除了黑客自己”实际上如果想直接把非对称加密的数据暴力破解掉,以现在的计算能力,几乎是很难实现。关于非对称加密这里有详细的解说,你看完也就知道为什么专家们那么下结论了黑客用了这种方式加密,我们为什么非要逼着自己逆向解密出来才算解密????难道只有这样才能拿一百分?????才显得牛XXX???我们要的是数据,只要能把数据拿回来,只要是合法的方法都应该被采纳。我就是用下面这些方法来解密勒索病毒的。为什么勒索病毒可以被除黑客外的第三方解密?原因如下图这是一个泛微OA用的SQL数据库, 被5ss5c勒索病毒加密了。加密仅仅只是数据库中的一部分数据而已,并非整个数据库都会被加密,因为黑客在加密的过程中必须平衡加密的时间和加密的质量。如果全字节加密必然耗费很长时间,那么根本来不及加密大量数据就会被客户发现,如果想快速加密必然无法全字节加密。这就给了我们可以修复的方法。经过提表重建数据库后的数据如下图是不是通过曲线救国的方式也实现了解密数据的目的?! 但 但 但是以上方法主要针对数据库。如果不是数据库文件,并且文件大约100M 那么也可以通过这种方式修复。但手工修起来很累也很贵。除了数据库几乎很少有文件具备这么大的价值。1:如果被勒索加密的是数据库类型文件。 例如泛微OA,通达软件,金蝶,用友,管家婆,医院HIS系统等一般需要恢复的数据都为数据库类型文件。例如:SQL 数据库 ,ORACLE数据库等等。都可以通过我上面说的修库的方式进行勒索病毒解密。修复的最基本原理是通过数据库提表并重建数据库。我通过这种方式修复过上千个数据库。最大的中毒数据库单文件640G。而且数据解密后ERP系统直接可用。2:如果勒索解密的是word excel等办公文档类型的文件并且数据文件小于100M ,那么通过上面手工修复的方式是行不通的,但不代表离开黑客就没有任何解密的可能。 黑客的加密程序也是程序,连微软这么大的软件都会有这么多漏洞,勒索病毒自然也会漏洞。我们完全可以利用黑客的漏洞把这些数据解密。当然这个不是都能行的通的。具体方法就不在这里详细说了,以免收到死亡威胁。步骤5:谨慎联系黑客。如果以上方法都成功修复数据,数据又确实很重要,那么不妨联系下黑客。黑客加密完数据之后都会在电脑上留勒索信,通常你发现服务器不能用之后,第一个出现在电脑屏幕上的就是勒索信。勒索信形式各式各样,但一般都以 TXT 或者 HTML或者是EXE文件格式存在。在每一个被加密的文件夹目录里面都会有一封勒索信。勒索信如下图可以根据黑客留的勒索信联系黑客,但请不要傻乎乎直接发邮件过去,并非所有的黑客都遵守信用,并非拿到解密程序就可以顺利解密。黑客只接受比特币付款,虚拟货币是不记名的,你根本不知道钱付给了谁。而且无法追回比特币。在我们以往接触的案例中,有客户付款后没有解密的,也有付款后被二次索要费用的,也有付款后成功解密的。在发邮件之前你最好做好充足的功课。有一些绝妙的操作方法我们无法公布在互联网中,因为不止你会看到我们的帖子,黑客也会看到。如果需要协助可以私信联系我们或者通过邮件联系我们。步骤6:找准中毒原因,修复薄弱环节,避免二次中毒。我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神,那就从以下几个思路入手。1.从各类网络设备的日志中查找异常(防火墙日志);2.从服务器操作系统安全日志查找异常;(windows安全日志,下图中日志被黑客清空了)3.从客户端操作系统查找异常;(客户端异常登录日志)4:利用网络上免费的病毒溯源工具查找异常。时间允许的花我后续会专门写一篇详细溯源教程配合工具使用方法,步骤7:格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑,建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!安全防护绝对不是买一套防火墙或者装几套杀毒软件就能解决问题的。任意一个新的勒索病毒的变种就可以躲开几乎所有的杀毒软件和防火墙。这也是为什么各大厂商的杀毒软件和防火墙都在持续不断的更新自己的病毒库的原因,因为只有安全人员捕获了病毒特征才有机会识别并杀掉病毒。这意味着肯定得有一部分人要先中毒牺牲掉自己,才能引起各大杀软和防火墙公司的注意。发布于 2020-04-09 21:12计算机病毒勒索病毒Wana Decrypt0r 2.0(计算机病毒)赞同 22045 条评论分享喜欢收藏申请转载文章被以下专栏收录数据恢复分享数据丢失恢复技巧数据恢复大师【嗨格式】专注数据恢复领域、打造行
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎切换模式写文章登录/注册勒索病毒真的无解?手把手教你对付勒索病毒太平洋科技软件频道最近几年一种以敲诈用户钱财为目的病毒流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,并且显示勒索信息,让受害者交付赎金才能解密找回文件,这对于电脑中存储有重要资料的用户来说,简直就是噩梦。那么勒索病毒危害如何?咱就来实测一下看看它的恐怖为例!如何防范此类病毒,咱也来探讨一下!如何解密被这类病毒加密的文件,咱也来唠叨唠叨!图1 勒索病毒对用户资料文件是个灾难(图片来源Kaspersky)什么是勒索病毒勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密。采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此而交付赎金。而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密,用户资料文件因此被锁,损失惨重。而采用虚假加密的勒索病毒只是简单地将用户的文件进行了隐藏甚至只是改了后缀名,稍微懂电脑技术的都可以把文件重新找回来。勒索病毒实测 恐怖的全盘文件加密为了让大家更好的了解勒索病毒,让我们先来用虚拟机测试一下勒索病毒,看看它的恐怖威力。为了方便测试,本次测试Windows环境采用了Windows 7系统,没有安装任何的杀毒软件。笔者先在虚拟机硬盘分区的PConline文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。图2 测试文件列表接下来,运行勒索病毒,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。这个时候再进入PConline件夹中查看测试文件,PConline文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为WNCRY。图4 常用文件格式全军覆没然后还有个勒索说明弹窗,这个弹窗还“贴心”的准备了多国语言。图5 勒索说明弹窗造成的危害:由于勒索病毒大多都都是全盘扫描并加密用户电脑中的常见文件格式文件。诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作甚至导致工作停摆。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。由于勒索病毒大多数采用了比特币支付方式,并且有些勒索病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些勒索病毒所加密的文件在用户支付赎金后依然无法进行解密操作。需要提醒受害者的是,如果你的重要资料文件被勒索病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。勒索病毒能自行解密么 安全厂商联合推出解密网站上边说了,多数勒索病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(大多数敲诈者木马,目前都采用了比较规范的非对称结合对称的加密手段,这直接导致了在没有拿到黑客手中的私钥的前提下,解密文件几乎不可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。提供100+勒索病毒解密工具正由于勒索病毒给受害者带来了严重的损失,所以勒索病毒也成为了各大计算机安全厂商重点关注对象。这不,为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了专门针对勒索病毒的网站-——No more ransom(拒绝勒索软件)。No more ransom:https://www.nomoreransom.org/zh/index.html“拒绝勒索软件”网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室 和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。No more ransom收录了超过100种已知的勒索病毒,并且针对这些勒索病毒做了专门的解密工具。如果不幸中招的用户,可以尝试使用该网站里的“解码刑警”工具来识别所中的是何种勒索病毒,并且查询是否有解密工具。只需要上传一个小于1M的被恶意加密的文件到解码刑警页面,稍等片刻该网站就会给用户提供究竟是中了何种病毒以及病毒信息,并且给出了解决方案。(如果你已经知道是何种勒索病毒,可以直接在“解密工具”页面查找解密工具)可是也别抱太大的希望,就像小编测试的这种勒索病毒,虽然已经老旧,但是在No more ransom还没找到解密方案。图6 上传文件到解码刑警图7 获得结果图8 解密工具页面在的解密工具页面提供了100+勒索病毒的加密工具,这里有着多家安全软件厂商提供的针对性勒索病毒解密工具,有解密工具的直接下载地址与使用指南,切记先看指南再用工具。图9 有下载地址与解密指南360在线查询与解密网站国内知名安全软件360页推出了一个专门的勒索病毒查询与在线解密网站。360勒索病毒解密:https://lesuobingdu.360.cn/在这里,用户同样可以通过上传被加密文件的方式来查询是中了哪种勒索病毒,并可以尝试解密。图10 上传被加密文件获得结果勒索病毒可以防范么 做足措施防范损失防范措施一:最重要的是定期异地备份硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染,所以强调“异地”备份。对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作,不过千万不要忘记密码。图11 FileGee同步备份软件而且还有许多的网盘客户端软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。图12 百度网盘的文件夹备份功能防范措施二 安装一款靠谱的杀毒软件别相信什么裸奔电脑的情况,杀毒软件无用论,至少,目前勒索病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。图13 靠谱的杀毒软件还是有作用的只是,勒索病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。还有需要注意的是,如果系统真的中了勒索者病毒,并且重要文档被加密的话,千方不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。重要的是,先恢复被感染的文档再进行病毒查杀操作。总结近几年病毒木马似乎变得少了,于是现在的网友们就没有了以前那必装杀毒软件,甚至还要装上几个杀毒软件那种警惕性了。其实各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中潜伏着肆意破坏着。作为普通用户,咱还需多加防范,对于重要资料文件,咱的备份操作少不得,安全第一!发布于 2022-08-20 12:30勒索病毒赞同 31 条评论分享喜欢收藏申请
遇到勒索病毒怎么办? - 知乎
遇到勒索病毒怎么办? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册网络安全信息安全勒索病毒遇到勒索病毒怎么办?遇到勒索病毒怎么办?显示全部 关注者48被浏览120,717关注问题写回答邀请回答好问题添加评论分享34 个回答默认排序微步在线已认证账号 关注先说结论:及时止损(拔网线)确定影响范围(看看还能抢救吗)病毒提取和网络恢复(关门捉狗)数据恢复和解密(能补救一点是一点)溯源分析(看看勒索病毒从哪进来的)安全加固(吃一堑长一智)作为一家专业网络安全公司,我拿这个问题去问了问「应急响应团队」的一位大佬:要是有客户遇到这种情况,你们通常会怎么处理?他一脸鄙夷:咱的客户怎么会被勒索呢?中勒索的一般是啥(安全防护)设备也没有。。。完全没有安全建设的才容易中的。我说:那万一呢?他说:有安全建设的中勒索病毒的也有,但都不是从某个地方强攻进去的,一般都是弱口令、已公开的高危漏洞等等。我们通常是这么个处理流程:1.及时止损能拔网线的直接拔网线,物理隔离,防止出现「机传机」的现象。如果是云环境,没法拔网线,赶紧修改安全组策略,总之,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通讯,防止内网感染。改密码!如果被勒索的机器和未被勒索的机器存在相同的登陆口令(相同的密码),及时修改未感染机器的登陆口令。黑客既然能黑进这一台机器,肯定也会盯着别的机器,不改密码,想啥呢。保护好案发现场不要重启!不要重启!不要重启!不要破坏被勒索的机器环境,保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致系统完全崩溃,严重影响后续动作。关端口及时关闭未感染机器远程桌面/共享端口(如:22/135/139/445/3389/3306/1521)对未感染的重要机器进行隔离备份,备份后及时物理隔离开备份数据,如:硬盘或者 u 盘备份后需要及时拔掉。不要联系黑客在不了解勒索病毒的情况下,建议不要直接联系黑客(容易钱财两空)。2.确定影响范围止损之后,就先不太慌了,开窗透透气,上个厕所,舒缓一下心情,冷静冷静。回来之后,逐一排查感染规模及环境(是 OA 还是服务器/一共中了多少台),可通过网络区域划分,防火墙设备、流量检测设备辅助快速确认影响范围。3.病毒提取和网络恢复取证通过对被勒索机器进行取证提取病毒样本,或结合终端防病毒软件,对影响区域内或可疑区域进行逐台确认,是否有遗留的病毒样本,确保所有机器上的病毒样本均已查杀;恢复网络制定网络恢复计划,优先对非重要区域的终端进行网络恢复,恢复过程中需通过流量检测设备进行实时监测,确保恢复后不会出现横移情况;直至全部网络恢复。4.数据恢复&解密告诉受害者一个听起来有点残酷的事实:目前绝大多数勒索病毒均无法解密(在没有拿到解密密钥的情况下)通常有如下几种选择:1) 如有数据备份,则可以直接通过数据备份进行恢复;2) 放弃数据恢复;3) 联系勒索者缴纳赎金,但是不建议自己联系,最好是专业的服务商协助,他们比较知道怎么跟勒索者谈判(说不定还能给砍砍价什么的)。5.溯源分析溯源分析的目的,并不是是查到勒索者是谁,而是找到勒索入侵的源头(从哪台机器上进来的),即 0 号主机,然后进行相应的安全加固,以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征,可以判断勒索病毒家族;对于内部攻击路径溯源,需依托于网络、安全设备日志以及感染/关联终端日志记录,包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注:因为很多勒索病毒存在反侦察手段,终端环境可能会被清理,如果没有流量监控等相关设备,溯源难度会非常大。6.安全加固修复内网中高危漏洞,确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口,如:445、3389等。对重要系统进行异地物理备份,确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域,各个区域之间使用严格的ACL,避免攻击者大范围横向移动扩散。在内网中架设流量监测设备,及时感知、阻断横移行为。总结一下:勒索病毒属于「易防难治」,千万不要等中招之后才后悔莫及,不要等到失去了重要文件才懂得珍惜,人世间最大的痛苦莫过于此……防患于未然,当下就找一个靠谱的网络安全公司,把网络安全建设好。 以上。希望这个回答可以帮助到大家。发布于 2022-07-13 19:20赞同 51 条评论分享收藏喜欢收起华为云开发者联盟已认证账号 关注2023年11月10日,某银行的美国全资子公司在官网发布声明称11月8日遭受了勒索软件攻击导致部分系统中断。并且11月9日LockBit勒索组织公开确认对此次攻击负责。LockBit是一种勒索软件家族,最初出现在2019年,目前已经升级至LockBit3.0,已发展成为一种具有高度定制化和复杂特性的勒索软件,并提供勒索软件即服务(RaaS)能力,是2023年最多产的勒索软件组织,其受害者名单不乏世界知名企业和机构,覆盖金融服务、食品和农业、教育、能源、政府、医疗保健、制造业和运输等,如果受害者不支付赎金,则文件可能会永久丢失或被公开泄露。目前某银行尚未公布调查结果,据安全专家 Kevin Beaumont 称攻击者疑似利用Citrix Netscaler Gateway/ADC产品的CVE-2023-4966漏洞发起攻击(Citrix NetScaler Gateway是一套安全的远程接入解决方案,提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix NetScaler ADC是一个应用程序交付和安全平台。)未授权的远程攻击者可通过利用此漏洞,窃取如cookie等敏感信息,从而绕过身份验证。LockBit 勒索软件操作遵循勒索软件即服务 (RaaS) 模式,使用附属机构来分发勒索软件,这些附属机构使用不同的攻击方法来渗透并部署勒索软件。初始入侵阶段勒索入侵可能采用的攻击手法包括:远程桌面协议利用(RDP exploitation)、钓鱼活动(Phishing Campaigns)、有效帐户滥用(Abuse of Valid Accounts)、面向公众的应用程序的漏洞利用(Exploitation of Public-facing Applications),该勒索家族历史上利用的典型漏洞有:感染与执行阶段LockBit与常见的勒索软件一样,在感染阶段会执行持久化、提权、横向移动、探测内网敏感数据、禁用安全软件等操作。Lockbit 3.0在受害者环境中实际执行勒索软件时,可以提供各种参数来控制勒索软件的行为,可以接受额外的参数用于横向移动和加密端点上的特定目录的特定操作。并且通过使用加密可执行文件方式保护自身以躲避检测和分析。LockBit采用双重勒索策略会把受害者的部分文件窃取再加密这些文件。LockBit3.0持续针对windows、linux系统,采用AES+RSA算法加密文件(市面上无相应的解密工具),同时更改桌面壁纸用于提示用户已被勒索,并释放文件名为[Random string].README.txt的勒索信。数据外泄阶段LockBit勒索软件会使用其自研的数据外泄工具StealBit,或合法的云同步工具(如RClone、Mega等),以上传窃取的数据。勒索病毒防护方案按照勒索病毒攻击的3个阶段,进行有针对性的防护。攻击阶段包括:攻击入侵、横向扩散和勒索加密。常见勒索病毒攻击路径分析 :华为云主机安全服务能够在攻击入侵前进行风险预防,在攻击入侵及横向移动时进行告警和攻击阻断,在勒索加密发生后进行数据恢复、安全加固。风险预防华为云主机安全HSS对勒索攻击提供全链路的安全防护,攻击入侵前,可使用HSS主机安全提供的风险预防功能,包含基线检查、漏洞管理、容器镜像安全扫描,对企业资产进行梳理,对服务器的各项服务进行基线检查,以及对服务器运行的各类应用进行漏洞扫描,及时修复漏洞,收敛攻击面,降低服务器被入侵风险。步骤1:进入“基线检查”页面,处理配置风险、弱口令风险等。步骤2:进入“漏洞管理”页面,扫描并修复漏洞。入侵检测与阻断黑客进行勒索首先需要获取边界服务器的权限,在攻击过程运用多种攻击手段进行入侵,所以需要在黑客入侵过程,对各类入侵攻击进行及时告警、阻断,华为云主机安全HSS支持对暴力破解、漏洞利用、Webshell、反弹shell、病毒、木马、Rootkit等的检测。LockBit勒索攻击的常见战术行为列表及华为云主机安全HSS对应检测能力项如下表,HSS提供对攻击路径全链路的检测:针对勒索病毒,华为云主机安全HSS提供了多维度的检测能力,包括AV病毒引擎检测、诱饵文件检测、HIPS主机入侵规则检测。AV病毒引擎根据勒索病毒特征进行检测,诱饵文件根据勒索病毒加密行为进行检测,HIPS引擎对勒索病毒常见异常行为进行检测。在发现勒索病毒和勒索加密行为后,对勒索病毒进程进行阻断,防止勒索病毒扩散蔓延。数据恢复若服务器被勒索病毒加密,事后需要及时通过备份恢复数据,分析被入侵的原因,然后进行安全加固,避免被再次被入侵勒索。华为云主机安全HSS支持一键恢复数据,开启勒索病毒防护策略后,可以对业务数据进行便捷地备份,服务器被勒索病毒入侵后,可以通过云服务器备份进行数据恢复,降低勒索病毒带来的损失。赶紧戳这里,体验华为云主机安全服务防勒索能力!本文分享自华为云社区《云小课|HSS教您如何应对LockBit勒索事件》,作者:阅识风云。点击关注,第一时间了解华为云新鲜技术~发布于 2023-11-28 16:45赞同 4添加评论分享收藏喜欢
勒索病毒详解+处置流程 - 知乎
勒索病毒详解+处置流程 - 知乎切换模式写文章登录/注册勒索病毒详解+处置流程李白你好公众号现在只对常读和星标的公众号才展示大图推送,建议大家把网络技术交流圈设为星标,否则可能就看不到啦!----------------------------------------------------------------------勒索病毒特征即磁盘文件被加密,一旦完成勒索过程则无法恢复文件,因此这类病毒以预防为主,安装杀毒软件并做好主机防黑工作及时打补丁,对重要文件要及时隔离备份1.了解现状第一时间了解目前什么情况:文件被加密?设备无法正常启动?勒索信息展示?桌面有新的文本文件并记录加密信息及解密联系方式?2.了解中毒时间文件加密时间?设备无法正常启动的时间?新的文本文件的出现时间?了解事件发生时间,后面以此时间点做排查重点;3.了解系统架构4.确认感染机器5.感染文件特征和感染时间1、操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及解密联系方式;2、被加密的文件类型;3、加密后的文件后缀;6.被加密的文件类型.der,.pfx,.key,.crt,.csr,.p12,.pem,.odt,.ott,.sxw,.stw,.uot,.3ds,.max,.3dm,.ods,.ots,.sxc,.stc,.dif,.slk,.wb2,.odp,.otp,.sxd,.std,.uop,.odg,.otg,.sxm,.mml,.lay,.lay6,.asc,.sqlite3,.sqlitedb,.sql,.accdb,.mdb,.dbf,.odb,.frm,.myd,.myi,.ibd,.mdf,.ldf,.sln,.suo,.cpp,.pas,.asm,.cmd,.bat,.ps1,.vbs,.dip,.dch,.sch,.brd,.jsp,.php,.asp,.java,.jar,.class,.mp3,.wav,.swf,.fla,.wmv,.mpg,.vob,.mpeg,.asf,.avi,.mov,.mp4,.3gp,.mkv,.3g2,.flv,.wma,.mid,.m3u,.m4u,.djvu,.svg,.psd,.nef,.tiff,.tif,.cgm,.raw,.gif,.png,.bmp,.jpg,.jpeg,.vcd,.iso,.backup,.zip,.rar,.tgz,.tar,.bak,.tbk,.bz2,.PAQ,.ARC,.aes,.gpg,.vmx,.vmdk,.vdi,.sldm,.sldx,.sti,.sxi,.602,.hwp,.snt,.onetoc2,.dwg,.pdf,.wk1,.wks,.123,.rtf,.csv,.txt,.vsdx,.vsd,.edb,.eml,.msg,.ost,.pst,.potm,.potx,.ppam,.ppsx,.ppsm,.pps,.pot,.pptm,.pptx,.ppt,.xltm,.xltx,.xlc,.xlm,.xlt,.xlw,.xlsb,.xlsm,.xlsx,.xls,.dotx,.dotm,.dot,.docm,.docb,.docx,.doc7.加密后的文件后缀.WNCRYT,.lock,.pre_alpha,.aes,.aes_ni,.xdata,.aes_ni_0day, .pr0tect,.[stopstorage@qq.com].java,文件后缀无变化;8.确认感染时间Linux系统:执行命令stat[空格]文件名,包括三个时间access time(访问时间)、modify time(内容修改时间)、change time(属性改变时间),如:例:stat /etc/passwdWindows系统:例:右键查看文件属性,查看文件时间9.处理方式未被感染主机:关闭SSH、RDP等协议,并且更改主机密码;备份系统重要数据、且文件备份应与主机隔离;禁止接入U盘、移动硬盘等可执行摆渡攻击的设备;被感染主机:立即对被感染主机进行隔离处置,禁用所有有线及无线网卡或直接拔掉网线防止病毒感染其他主机;禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备;无法定位到文件?木马执行完毕后自删除采用傀儡进程技术,恶意代码只在内存展开执行高级Rootkit或Bootkit级木马,强对抗性,三环工具无法探测解决方式收集系统事件日志,保持系统环境,请求后端技术支持案例一(1)事件概述某日接到应急响应请求:某外网服务器中敲诈者病毒。(2)事件分析应急响应人员到场了解情况后,发现服务器中植入勒索病毒,导致全盘文件被加密为java后缀格式文件,所有应用均无法使用。发现系统所有文件被加密为java后缀文件;桌面存在敲诈文件“FILES ENCRYPTED.txt”,内容为敲诈者的勒索信息,疑似攻击者邮箱为:xxxxxdx@qq.com;该email地址已有多起攻击事件:查看系统进程,发现天擎的相关防护服务已被关闭;进一步排查,发现服务器对外开放了3389远程桌面管理端口;administrator账户口令为弱口令,且自系统安装以来未修改过密码:(3)结论:服务器中“敲诈者”病毒,磁盘文件被全盘加密,目前暂时无法解密,只能通过重装操作系统来恢复,事件原因是黑客通过服务器3389端口弱口令进入,并上传加密程序执行加密;案例二应急响应小组成员在通过登录被加密感染的数据库服务器,发现其桌面上弹出勒索软件提示窗口:通过对被加密文件进行索引,发现加密的开始时间为2017年12月X日X点09分13秒;通过对系统日志进行分析,发现大量的远程桌面服务爆破日志:同时,于2017年X月X日凌晨00点09分26秒,IP归属于荷兰的攻击者成功登录该系统:(3)结论向客户说明服务器中勒索病毒,目前暂时无法解密,只能通过重装操作系统来恢复;10.勒索病毒家族11.传播方式(一)服务器入侵传播黑客先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如,卸载服务器上的安全软件并手动运行勒索软件。这种攻击方式,一旦服务器被入侵,安全软件一般是不起作用的。管理员账号密码被破解,是服务器被入侵的主要原因。其中,管理员使用弱密码被黑客暴力破解,部分黑客利用病毒或木马潜伏用户电脑盗取密码,黑客还可从其他渠道直接购买账号密码(这里就涉及到敏感数据泄露问题了。)(二)利用漏洞自动传播通过系统自身漏洞进行传播扩散,是2017年的一个新特点。WannaCry勒索病毒就是利用永恒之蓝(EternalBlue)漏洞进行传播。此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金,但因传播方式不同,更难以防范,需要用户提高安全意识,及时更新有漏洞的软件或安装对应的安全补丁。(三)软件供应链攻击传播软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。(四)邮件附件传播通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件,一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。这类传播方式针对性较强,主要瞄准公司企业、各类单位和院校,电脑中往往不是个人文档而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。(五)利用挂马网页传播通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,没有特定的针对性,中招的受害者多数为“裸奔”用户,未安装任何杀毒软件。使用了MS17-010远程高危漏洞进行自我传播复制敲诈者通过文件加密方面的编程较为规范,流程符合密码学标准(RSA+AES加密),很难通过其他手段对勒索文件进行解密。12.勒索病毒攻击特点(一)无C2服务器加密技术流行2017年,我们发现黑客在对文件加密的过程中,一般不再使用C2服务器了,也就是说现在的勒索软件加密过程中不需要回传私钥了。这种技术的加密过程大致如下:1)在加密前随机生成新的加密密钥对(非对称公、私钥)2)使用该新生成新的公钥对文件进行加密3)把新生成的私钥采用黑客预埋的公钥进行加密保存在一个ID文件或嵌入在加密文件里解密过程大致如下:1)通过邮件或在线提交的方式,提交ID串或加密文件里的加密私钥(该私钥一般黑客会提供工具提取);2)黑客使用保留的预埋公钥对应的私钥解密受害者提交过来的私钥;3)把解密私钥或解密工具交付给受害者进行解密。通过以上过程可以实现每个受害者的解密私钥都不相同,同时可以避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。显然 ,这种技术是针对采用了各种隔离措施的政企机构所设计的。(二)攻击目标转向政企机构2017年,勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。(三)针对关键信息基础设施的攻击以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。(四)攻击目的开始多样化顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。(五)勒索软件平台化运营2017年,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。(六)境外攻击者多于境内攻击者2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。13.勒索病毒事件防御个人终端防御技术(一)文档自动备份隔离保护文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。鉴于勒索软件一旦攻击成功往往难以修复,而且具有变种多,更新快,大量采用免杀技术等特点,因此,单纯防范勒索软件感染并不是“万全之策”。但是,无论勒索软件采用何种具体技术,无论是哪一家族的哪一变种,一个基本的共同特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征,通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,就可以在相当程度上帮助用户挽回勒索软件攻击的损失。文档自动备份隔离技术就是在这一技术思想的具体实现,360将其应用于360文档卫士功能模块当中。只要电脑里的文档出现被篡改的情况,它会第一时间把文档自动备份在隔离区保护起来,用户可以随时恢复文件。无论病毒如何变化,只要它有篡改用户文档的行为,就会触发文档自动备份隔离,从而使用户可以免遭勒索,不用支付赎金也能恢复文件。360文档卫士的自动备份触发条件主要包括亮点:一、开机后第一次修改文档;二、有可疑程序篡改文档。当出现上述两种情况时,文档卫士会默认备份包括Word、Excel、PowerPoint、PDF等格式在内的文件,并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式。比如电脑里的照片非常重要,就可以把jpg等图片格式加入保护范围。此外,360文档卫士还集合了“文件解密”功能,360安全专家通过对一些勒索软件家族进行逆向分析,成功实现了多种类型的文件解密,如2017年出现的“纵情文件修复敲诈者病毒”等。如有网友电脑已不慎中招,可以尝试通过“文档解密”一键扫描并恢复被病毒加密的文件。(二)综合性反勒索软件技术与一般的病毒和木马相比,勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击,已经成为一种主流的技术趋势。下面就以360安全卫士的相关创新功能来分析综合性反勒索软件技术。相关技术主要包括:智能诱捕、行为追踪、智能文件格式分析、数据流分析等,具体如下。智能诱捕技术是捕获勒索软件的利器,其具体方法是:防护软件在电脑系统的各处设置陷阱文件;当有病毒试图加密文件时,就会首先命中设置的陷阱,从而暴露其攻击行为。这样,安全软件就可以快速无损的发现各类试图加密或破坏文件的恶意程序。行为追踪技术是云安全与大数据综合运用的一种安全技术。基于360的云安全主动防御体系,通过对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改则立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击,能够主动防御最新出现的勒索病毒。智能文件格式分析技术是一种防护加速技术,目的是尽可能的降低反勒索功能对用户体验的影响。实际上,几乎所有的反勒索技术都会或多或少的增加安全软件和电脑系统的负担,相关技术能否实用的关键就在于如何尽可能的降低其对系统性能的影响,提升用户体验。360研发的智能文件格式分析技术,可以快速识别数十种常用文档格式,精准识别对文件内容的破坏性操作,而基本不会影响正常文件操作,在确保数据安全的同时又不影响用户体验。数据流分析技术,是一种将人工智能技术与安全防护技术相结合的新型文档安全保护技术。首先,基于机器学习的方法,我们可以在电脑内部的数据流层面,分析出勒索软件对文档的读写操作与正常使用文档情况下的读写操作的区别;而这些区别可以用于识别勒索软件攻击行为;从而可以在“第一现场”捕获和过滤勒索软件,避免勒索软件的读写操作实际作用于相关文档,从而实现文档的有效保护。企业级终端防御技术(一)云端免疫技术在国内,甚至全球范围内的政企机构中,系统未打补丁或补丁更新不及时的情况都普遍存在。这并非是简单的安全意识问题,而是多种客观因素限制了政企机构对系统设备的补丁管理。因此,对无补丁系统,或补丁更新较慢的系统的安全防护需求,就成为一种“强需求”。而云端免疫技术,就是解决此类问题的有效方法之一。这种技术已经被应用于360的终端安全解决方案之中。所谓云端免疫,实际上就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户电脑做防护或打补丁;对于无法打补丁的电脑终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵;除此之外,云端还可以直接升级本地的免疫库或免疫工具,保护用户的电脑安全。需要说明的事,云端免疫技术只是一种折中的解决方案,并不是万能的或一劳永逸的,未打补丁系统的安全性仍然比打了补丁的系统的安全性有一定差距。但就当前国内众多政企机构的实际网络环境而诺言,云端免疫不失为一种有效的解决方案。(二)密码保护技术针对中小企业网络服务器的攻击,是2017年勒索软件攻击的一大特点。而攻击者之所以能够渗透进入企业服务器,绝大多数情况都是因为管理员设置的管理密码为弱密码或帐号密码被盗。因此,加强登陆密码的安全管理,也是一种必要的反勒索技术。具体来看,加强密码保住主要应从三个方面入手:一是采用弱密码检验技术,强制网络管理员使用复杂密码;二是采用反暴力破解技术,对于陌生IP的登陆位置和登陆次数进行严格控制;三是采用VPN或双因子认证技术,从而使攻击者即便盗取了管理员帐号和密码,也无法轻易的登陆企业服务器。文章转自网络信科技,侵删往期精彩一份老网工珍藏多年的网络配置笔记
2023-12-04
一波网络安全名词解释~
2023-12-01
大厂裁员风波,好戏上演!
2023-11-29
信安考 证需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【网络技术交流圈】知识星球1年!发布于 2023-12-05 08:45・IP 属地北京勒索病毒赞同添加评论分享喜欢收藏申请
如何防勒索病毒? - 知乎
如何防勒索病毒? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒如何防勒索病毒?关注者39被浏览75,051关注问题写回答邀请回答好问题 7添加评论分享23 个回答默认排序文秀大人 关注在讨论如何防勒索病毒问题之前,先来了解一下勒索病毒。 什么是勒索病毒?勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。自2016年开始,WannaCry勒索蠕虫病毒大爆发,且目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。戏剧性的是,在此阶段,勒索病毒已呈现产业化、家族化持续运营状态。勒索病毒产业化架构自2018年开始,勒索病毒技术日益成熟,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。2018年至今勒索病毒活跃趋势勒索病毒19年一季度行业分布情况2019年最具代表性的勒索病毒家族排行榜勒索病毒工作原理勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀、分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性)。接下来利用权限连接黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密(先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。)。除了病毒开发者本人,其他人是几乎不可能解密。如果想使用计算机暴力破解,根据目前的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。(当然,理论上来说,也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间,恐怕地球撑不到那个时候。)加密完成后,还会锁定屏幕,修改壁纸,在桌面等显眼的位置生成勒索提示文件,指导用户去缴纳赎金。值得一提的是,有的勒索方式索要赎金是比特币,如果你不会交易流程,可能会遭到勒索者的二次嘲讽:自己上网查!( Ĭ ^ Ĭ )以下为APT沙箱分析到勒索病毒样本载体的主要行为:1、调用加密算法库;2、通过脚本文件进行Http请求;3、通过脚本文件下载文件;4、读取远程服务器文件;5、通过wscript执行文件;6、收集计算机信息;7、遍历文件。该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。如何防勒索病毒?1、青铜段位(1)不要打开陌生人或来历不明的邮件,防勒索病毒通过邮件的攻击;(2)需要的软件从正规(官网)途径下载;(3)升级杀毒软件到最新版本,阻止已存在的病毒样本攻击;(4)Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁;(5)定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;(6)定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击。三要:要备份、要确认、要更新)思路。2、钻石段位(1)物理,网络隔离染毒机器;(2)对于内网其他未中毒电脑,排查系统安全隐患: a)系统和软件是否存在漏洞 b)是否开启了共享及风险服务或端口,如135、137、139、445、3389 c)只允许办公电脑,访问专门的文件服务器。使用FTP,替代文件夹共享。 d)检查机器ipc空连接及默认共享是否开启 e)检查是否使用了统一登录密码或者弱密码(3) 尽量不要点击office宏运行提示,避免来自office组件的病毒感染;(4)尽量不要双击打开.js、.vbs等后缀名文件;(5)事后处理在无法直接获得安全专业人员支持的情况下,可考虑如下措施: a) 通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址 (https://guanjia.qq.com/pr/ls/#navi_0)勒索病毒搜索引擎 b) 若支持解密,可直接点击下载工具对文件进行解密(3)王者段位 在如何防勒索病毒这个话题中,人们常规的防御思维综上所述。虽然没什么毛病,但怎么看都像是“坐以待毙”,被动挨打。不过也无可厚非,毕竟见招拆招是惯性思维。正确的防勒索病毒手段,一定是以不变应万变。 举个栗子:农场主养了一群羊,毛发油亮,膘肥体壮,卖相极好,农场主甚是欣慰。有一天农场主发现少了几只羊,还发现了狼的踪迹,便明白了有狼偷羊。农场主跟踪狼的踪迹,设置陷阱,日夜监督,身心俱疲,但还是没有捉到狼,羊的数量还在减少。最后,农场主把茅草的羊圈换成了大理石羊圈,羊再也没少过,农场主也再也不用去寻找狼。主机加固的概念便是如此。所以如何防勒索病毒,主机加固的思路才是良策。主机加固的核心要点:1、系统加固 将调试好的系统锁定,变成可信系统。 在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。 即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。2、程序加固 采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过 拒绝启动,并且可信程序无法被伪装。3、文件加固 保护指定类型的文件不被篡改。4、磁盘加密 创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提 下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。5、数据库加固 第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。 第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连 接字符串的IP+端口+账号密码中,追加进程身份识别。 第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库 内数据被非法访问,防止数据库表单的危险操作行为。 很多问题换一种思维可能就迎刃而解。如何防勒索病毒,显然用主机加固的策略更佳。至于主机 加固产品如何选型,各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了,而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。最后,涩情网站君莫入,陌生邮件小心读,美女果聊需当心,勒索病毒助你贫。不要谢我,叫我雷锋,深藏功名。编辑于 2021-12-16 17:55赞同 3526 条评论分享收藏喜欢收起Ommega3110计算机硕士,码农,书呆子 关注谢邀,刚上飞船,人在自然选择号。说的是深信达吧。你一提到SDC沙盒,真的有太多感慨。前两年公司开发新项目,大量的嵌入式开发调试动作。我们用U口和网口来传输代码,频繁的发到设备里调试,找问题,改BUG。甲方爸爸特别交代,项目要严格保密,PM和CTO都很忙,就命我出方案。我TM能出什么方案?百度上到处找项目保密,源代码保密,源代码加密的解决方案,全是广告,百度真是绝绝子了。好吧,找了几家软件测试下,要么就坏文件,要么就不停地设置进程、文件后缀名。最关键的是,我这种水平不高的菜鸟也能想办法绕过这些加密软件,简直了。后来问了在DJI(大疆)的师兄,他告诉我源代码加密要用环境加密的,透明加密的不适合,他们公司选型也费老鼻子劲,最后才选的SDC沙盒。至于原理,太多了一句两句也说不清。简单总结一下区别哪:代码开发的环境复杂,进程文件类型很多,要用透明加密一一设置,就类似于白名单,不胜其烦,而且安全系数低,也不支持嵌入式开发场景的加密需求。这时候需要一款基于系统的、开发场景的加密产品。这个产品要不关联文件类型,不抓取进程,不区分文件大小,不改变研发者使用计算机习惯,还要保证数据不能外泄,支持嵌入式这种带烧录的场景,最好还要安全系数高一些,至少要保证普通开发人员不能破解。一种是基于文件过滤层的文件加密,一种是基于驱动层的系统环境加密,各有千秋吧,但是源代码加密这种环境复杂的需求,后者更为合适。经过一周的测试,最终选型SDC。历时2个月的调研和选型,终于结束。虽然有点波折,但也学到了很多。有些知识,只有在实践中获得。感谢我的地中海PM和CTO。发布于 2021-12-23 14:36赞同 73 条评论分享收藏喜欢
勒索病毒防范措施与应急响应指南 - FreeBuf网络安全行业门户
勒索病毒防范措施与应急响应指南 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 勒索病毒防范措施与应急响应指南
关注
终端安全企业安全 勒索病毒防范措施与应急响应指南
2019-08-30 08:00:09
所属地 广东省 此前我写过一篇文章《企业中了勒索病毒该怎么办?可以解密吗?》,里面介绍了很多解密的网站,并教了大家如何快速识别企业中了哪个勒索病毒家族,以及此勒索病毒是否有解密工具,也包含一些简单的勒索病毒应急处理方法,这篇我将重点讲解一下,作为一名安全应急响应人员,该如何去处理勒索病毒,可以给客户提供哪些勒索病毒防范措施和应急响应指导等。 关于勒索病毒,很多朋友在后台留言常常会问我这两个问题: 1.企业还没有中勒索,但领导很害怕,该如何防范呢?有哪些建议和指导 2.企业已经中了勒索,该如何快速进行应急响应?有哪些建议和指导 企业应该如何做好安全防护,主要从以下几个方面入手: 1.部署可靠高质量的防火墙、安装防病毒终端安全软件,检测应用程序、拦截可疑流量,使防病毒软件保持最新,设置为高强度安全防护级别,还可以使用软件限制策略防止未经授权的应用程序运行 2.关注最新的漏洞,及时更新电脑上的终端安全软件,修复最新的漏洞 3.关闭不必要的端口,目前发现的大部分勒索病毒通过开放的RDP端口进行传播,如果业务上无需使用RDP,建议关闭RDP,以防止黑客通过RDP爆破攻击 4.培养员工的安全意识,这点非常重要,如果企业员工不重视安全,迟早会出现安全问题,安全防护的重点永远在于人,人也是最大的安全漏洞,企业需要不定期给员工进行安全教育的培训,与员工一起开展安全意识培训、检查和讨论: 1)设置高强度的密码,而且要不定期进行密码的更新,避免使用统一的密码,统一的密码会导致企业多台电脑被感染的风险,此前我就遇到过一个企业内网的密码都使用同一个的情况,导致企业内部多台电脑被勒索加密 2)企业内部应用程序的管控与设置,所有的软件都由IT部门统一从正规的网站进行下载,进行安全检测之后,然后再分发给企业内部员工,禁止员工自己从非正规的网站下载安装软件 3)企业内部使用的office等软件,要进行安全设置,禁止宏运行,避免一些恶意软件通过宏病毒的方式感染主机 4)从来历不明的网站下载的一些文档,要经过安全检测才能打开使用,切不可直接双击运行 5)谨慎打开来历不明的邮件,防止被邮件钓鱼攻击和垃圾邮件攻击,不要随便点击邮件中的不明附件或快捷方式,网站链接等,防止网页挂马,利用漏洞攻击等 6)可以不定期进行安全攻防演练,模拟攻击等,让员工了解黑客有哪些攻击手法 7)可以给员工进行勒索病毒感染实例讲解,用真实的勒索病毒样本,进行模拟感染攻击,让员工了解勒索病毒的危害 5.养成良好的备份习惯,对重要的数据和文档进行定期非本地备份,可使用移动存储设置保存关键数据,同时要定期测试保存的备份数据是否完整可用 勒索病毒的特征一般都很明显,会加密磁盘的文件,并在磁盘相应的目录生成勒索提示信息文档或弹出相应的勒索界面,如果你发现你的文档和程序无法打开,磁盘中的文件被修改,桌面壁纸被替换,提示相应的勒索信息,要求支付一定的赎金才能解密,说明你的电脑中了勒索病毒。 企业中了勒索,该如何应急,主要从以下几个方面入手: 1.隔离被感染的服务器主机 拔掉中毒主机网线,断开主机与网络的连接,关闭主机的无线网络WIFI、蓝牙连接等,并拔掉主机上的所有外部存储设备 2.确定被感染的范围 查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器,以及主机上云存储中的文件等,是否已经全部加密了 3.确定是被哪个勒索病毒家族感染的,在主机上进行溯源分析,查看日志信息等 主机被勒索病毒加密之后,会在主机上留上一些勒索提示信息,我们可以先去加密后的磁盘目录找到勒索提示信息,有些勒索提示信息上就有这款勒索病毒的标识,显示是哪一种勒索病毒,比方GandCrab的勒索提示信息,最开始都标明了是哪一个版本的GandCrab勒索病毒版本,可以先找勒索提示信息,再进行溯源分析 溯源分析一般通过查看主机上保留的日志信息,以及主机上保留的样本信息,通过日志可以判断此勒索病毒可能是通过哪种方式进来的,比方发现文件被加密前某个时间段有大量的RDP爆破日志,并成功通过远程登录过主机,然后在主机的相应目录发现了病毒样本,可能猜测这款勒索病毒可能是通过RDP进来的,如果日志被删除了,就只能去主机上找相关的病毒样本或可疑文件,通过这些可疑的文件来猜测可能是通过哪种方式进来的,比方有些是能过银行类木马下载传播的,有些是通过远控程序下载传播的,有些是通过网页挂马方式传播的,还可以去主机的浏览器历史记录中去找相关的信息等等 4.找到病毒样本,提取主机日志,进行溯源分析之后,关闭相应的端口、网络共享、打上相应的漏洞补丁,修改主机密码,安装高强度防火墙,防病毒软件等措施,防止被二次感染勒索 5.进行数据和业务的恢复,如果主机上的数据存在备份,则可以还原备份数据,恢复业务,如果主机上的数据没有备份,可以在确定是哪种勒索病毒家族之后,查找相应的解密工具,解密工具网站可以看我上一篇文章中提到的,事实上现在大部分流行勒索病毒并没有解密工具,如果数据比较重要,业务又急需恢复,可以考虑使用下面方式尝试恢复数据和业务: 1)可以通过一些磁盘数据恢复手段,恢复被删除的文件 2)可以跟一些第三方解密中介或直接通过邮件的方式联系黑客进行协商解密(但不推荐),可能就是因为现在交钱解密的企业越来越多,导致勒索病毒家族变种越来越多,攻击越来越频繁,还有很多企业中了勒索病毒暗地里就交钱解密了 现在很多勒索病毒都使用邮件或解密网站,要求受害者通过这些网站进行解密操作,而且都是使用BTC进行交易,而且功能非常完善,下面我们就来分析一下最近很流行的Sodinokibi勒索病毒的解密网站,如下所示: 网站的主机提示你被加密了,需要支持0.24790254的BTC(=2500美元),如果超过了时间限制,则可能需要支付0.49580508的BTC(=5000美元) 黑客还担心受害者不知道BTC是啥,事实上国内有些企业中了勒索,想交赎金,但不知道BTC从哪里来,于时黑客就给出了详细的步骤教受害者如何进行解密,以及如果购买BTC操作等,如下所示: 黑客还建议了受害者通过https://www.blockchain.com/explorer这个网站注册BTC钱包,然后购买相应的BTC,再将BTC转入黑客的BTC钱包帐户,同时黑客还提示了使用多种方式可以购买BTC的链接,如下所示: 还贴出来了相应的链接,指导受害者如何购买BTC的详细教程等等,如下所示: 同时黑客还怕受害者不相信可以解密,可以帮受害者免费解密几个文件,但不包含大的数据文件,只能是10MB以下的,如下所示: BTC注册网站: https://www.blockchain.com BTC购买链接: https://www.coinmama.com/ https://www.korbit.co.kr/ https://www.coinfloor.co.uk/ https://coinfinity.co/ https://www.bitpanda.com/en https://btcdirect.eu/ https://www.paymium.com/ https://bity.com/ https://www.coincorner.com/ https://www.happycoins.com https://www.bitfinex.com/ https://poloniex.com/ https://cex.io/ https://www.huobi.com/ https://bittylicious.com/ https://coincafe.com/ https://www.coinhouse.com https://safello.com/ https://localbitcoins.com/ https://www.virwox.com/ https://www.bitquick.co/ https://wallofcoins.com https://libertyx.com https://bitit.io/ https://coinatmradar.com/ BTC如何购买: https://howtobuybitcoins.info/ https://bittybot.co/eu/ https://www.buybitcoinworldwide.com/ http://bitcoin-net.com/ 黑客还开通了聊天窗口,可以跟黑客进行沟通协商,讨价还价等等,如下所示: 从上面可以看出黑客为了让受害者能交付赎金,做了一个专门的网站进行指导,可以看出这款勒索病毒背后一定是有一支强大的运营团队 最后友善提醒: 不建议企业向黑客支付BTC,也不建议企业找第三方中介解密,因为这样会促长这个行业的不断增加,现在大部分勒索病毒无法解密,请各企业做好相应的防范措施,按上面的一些指导方法和建议进行勒索病毒的防御,勒索病毒的重点在于防御! *本文作者:熊猫正正,转载须注明来自FreeBuf.COM 本文作者:,
转载请注明来自FreeBuf.COM # 应急响应 # 勒索病毒 # 防范
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
人手必备!勒索病毒应急自救手册! - FreeBuf网络安全行业门户
人手必备!勒索病毒应急自救手册! - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 人手必备!勒索病毒应急自救手册!
关注
企业资讯 人手必备!勒索病毒应急自救手册!
2019-10-15 18:31:52
一、背景自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对企事业单位等各类组织直接威胁最大的一类木马病毒。勒索病毒通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。二、勒索病毒中毒特征勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。1. 业务系统无法访问勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营。2. 电脑桌面被篡改服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,如下图:服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改,并且使得文件无法正常打开。三、自救措施✦ 正确处置方法(一)隔离中招主机当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段。①物理隔离物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。②访问控制a.避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上,并关闭445、139、135等不必要的端口。b.将服务器密码修改为高强度的复杂密码。隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪,造成无法估量的损失。(二)排查业务系统在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。✦ 错误的处置方法(一)使用移动存储设备当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。(二)读写中毒主机上的磁盘文件当确认服务器已经被感染勒索病毒后,反复读取磁盘上的文件可能会而降低数据正确恢复的概率。四、勒索病毒排查1. 文件排查(1)开机启动有无异常文件【开始】➜【运行】➜【msconfig】(2)各个盘下的 temp(tmp)相关目录下查看有无异常文件(3)Recent 是系统文件夹,里面存放着最近使用的文档的快捷方式,查看用户 recent 相关文件,通过分析最近打开分析可疑文件:【开始】➜【运行】➜【%UserProfile%\Recent】(4)查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。2. 进程排查(1)netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED,例如(2)根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位,例如(3)根据 wmic process 获取进程的全路径 [任务管理器也可以定位到进程路径]3. 系统信息排查(1)查看环境变量的设置排查内容:temp 变量的所在位置的内容;后缀映射 PATHEXT 是否包含有非windows 的后缀;有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查)。(2)Windows 计划任务排查可疑的windows计划任务。(3)Windows 帐号信息,如隐藏帐号等【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】排查可疑的用户信息 (用户名以$结尾的为隐藏用户,如:admin$)(4)查看当前系统用户的会话使用➜ query user 查看当前系统的会话,比如查看到有人使用远程终端登录服务器,可使用logoff 踢出该用户;(5)查看 systeminfo 信息,系统版本以及补丁信息,及时打补丁五、勒索病毒预防措施勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:(1)安装杀毒和安全防护软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行;定期进行全盘杀毒。(2)开启系统自动更新功能或使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。(3)密码一定要使用强口令,并且不同账号使用不同密码。(4)重要文档数据应经常做备份。(5)若长时间离开电脑随手关机。(6)尽量不要启用文件共享功能和远程桌面功能。(7)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。 本文作者:,
转载请注明来自FreeBuf.COM
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
勒索病毒的防范处理措施-信息中心(网信办)
勒索病毒的防范处理措施-信息中心(网信办)
站内搜索
设为首页 |
学校主页 |
中心首页
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
网络安全知识
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
您当前所在的位置:
首页
->
网络安全知识
->
正文
勒索病毒的防范处理措施
发布日期:2021-09-10 来源: 点击量:
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模暴发以来,勒索病毒对政企机构和网民的威胁极大:企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。
2021年3月,全球新增活跃勒索病毒:FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear还处于开发阶段,DearCry是本月最先被捕获使用Exchange漏洞投发勒索病毒的家族,新出现的PhoenixCryptoLocker可能与Evil黑客组织相关。
勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。本文介绍了一些勒索病毒的防范和处理措施,希望能够帮助读者免受勒索病毒侵害。
一、如何判断病情
如何判断计算机是否中了勒索病毒呢?勒索病毒有区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的主要目的是为了勒索,黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,可表明已经中了勒索病毒。
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
2、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件扩展名被篡改。一般来说,文件扩展名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的扩展名为dream、TRUE、CHAK等;Satan家族的扩展名有satan、sicck;Crysis家族的扩展名有ARROW、arena等。
二、如何进行自救
1、正确处置方法
(一)隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1)物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2)访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
(二)排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
2、错误处置方法
(一)使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
三、如何恢复系统
1、历史备份还原
如果事前已经对文件进行了备份,那么我们可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
2、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过各大安全厂商提供的解密工具恢复感染文件:
1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法;
2)勒索病毒的制造者主动发布了密钥或主密钥;
3)执法机构查获带有密钥的服务器,并进行了分享。
通过查询可靠安全厂商的网站,可以了解哪些勒索病毒可以被解密,同时采取相应措施。
3、重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
4、如何加强防护
虽说部分勒索病毒目前已有解密工具,但勒索病毒制作成本低、利润高,新型勒索病毒层出不穷,并不是所有的勒索病毒都能进行解密。因此,加强勒索病毒的防护比中了勒索病毒之后再进行补救要有效得多。
对于高校师生,加强防护主要有以下相应措施:
养成良好的安全习惯
1)电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2)使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3)电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
4)重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5)不要浏览来路不明的不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
7)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
8)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
上一条:四格漫画丨网上冲浪第一步 个人隐私要保护
下一条:Incaseformat病毒简单处理方式
Copyright 2010-2021 Powered By 山西传媒学院
文华校区:山西省高校新区文华街125号(晋中市榆次区),邮编:030619
东华校区:山西省太原市五龙口街118号,邮编:030013 晋ICP备08101804号-1 晋公网安备 14070202000062号
勒索病毒应急响应指导手册
应急响应指导手册 产品中心产品中心基础安全T-Sec 主机安全容器安全服务 TCSST-Sec Web应用防火墙T-Sec 云防火墙T-Sec 安全运营中心T-Sec iOA零信任安全管理系统业务安全T-Sec 天御 验证码T-Sec 天御 文本内容安全T-Sec 天御 视频内容安全T-Sec 全栈式风控引擎T-Sec 手游安全T-Sec 小程序安全T-Sec 应用合规平台数据安全T-Sec 堡垒机T-Sec 数据安全审计T-Sec 云访问安全代理T-Sec 凭据管理系统T-Sec 密钥管理系统T-Sec 云加密机T-Sec 数据安全治理中心安全服务T-Sec 安全专家服务一站式等保服务T-Sec 安全托管服务渗透测试服务应急响应服务重要时期安全保障服务安全攻防对抗服务了解全部安全产品→解决方案解决方案通用解决方案等保合规安全解决方案直播安全解决方案数据安全解决方案品牌保护解决方案高防云主机安全解决方案腾讯安心平台解决方案行业场景方案游戏安全场景方案电商安全场景方案智慧零售场景方案智慧出行场景方案安全专项解决方案勒索病毒专项解决方案重大保障安全解决方案 NEW 最新动态威胁研究合作伙伴更多更多关于我们腾讯安全介绍荣誉认证帮助中心帮助文档考试认证在线课堂证书查询联系我们产品方案咨询寻求市场合作友情链接腾讯云未登录登录可以享受精准服务推荐线上快捷下单海量资源流量立即登录威胁研究正文勒索病毒应急响应指导手册2018-11-28 04:01:05政企机构遭遇勒索病毒攻击时,如果及时采取必要的自救措施,就能有效阻止损失扩大,为等待专业救援争取时间。为帮助遭受勒索病毒攻击的政企机构和个人用户正确应急处置,腾讯安全团队整理了此份《勒索病毒应急响应指导手册》,希望能对广大用户有所帮助。一、自诊判断是否感染勒索病毒
1.1什么是勒索病毒
勒索病毒是一种黑客通过技术手段将受害者机器内的重要数据文件进行加密,最终迫使受害者向黑客缴纳赎金来解密文件,从而非法牟利勒索钱财的病毒。勒索病毒是近年来极为流行的病毒类型之一。
勒索病毒主要有以下几种类型:
A.使用加密算法对攻击机器内的文件进行加密(流行)
B.直接对磁盘分区进行加密(较少)
C.劫持操作系统引导区后禁止用户正常登录操作系统(较少)
1.2如何判断遭受勒索病毒感染
由于勒索病毒最终以勒索钱财为目的,与传统类型病毒获利模式有较大差异,当受害者遭受到勒索病毒攻击后会产生极为明显的受勒索特征。通过观察遭受勒索病毒攻击机器环境发现病毒造成的明显异常点,可进一步确诊自身当前是否遭受到勒索病毒攻击。
具体可通过以下几种方式来进行判断自己中毒类型是否为勒索病毒。
1)电脑桌面壁纸被篡改
勒索病毒攻击成功后,为了让受害者第一时间感知到被病毒入侵,部分情况下会修改用户当前电脑桌面壁纸,告知受害者当前已被病毒感染,需要缴纳赎金进行解密。
如下图为GandCrab勒索病毒感染后的情景:用户的桌面壁纸被修改为黑色背景且带有勒索信息。
2)有明显的勒索信息窗口展示
勒索病毒加密文件完成后,通常会在被加密文件所在目录下创建一个勒索提示说明文档。为了更加直观,勒索病毒完成文件加密后通常会自动打开该文档。该说明文档通常为txt或html文件类型,部分病毒也会直接使用病毒程序弹出窗口的形式来展示勒索信息。
3)文件后缀被修改且文件使用打开异常
勒索病毒为了标识被自身加密过的文件,通常情况下会在完成文件加密后,修改被加密文件的原始后缀。被修改后的文件后缀区别于常见文件类型,因此通过该后缀也可判断确诊是否遭受到了勒索病毒攻击,下图为图片文件被加密后添加了dlkjq后缀,此时该图片文件已无法正常打开使用。
1.3.如何判断当前感染了哪种勒索病毒
腾讯安全团队通过收集当前国内外存在的勒索病毒家族,归纳各家族勒索病毒特征,开发出一个支持超过检索280余种勒索病毒家族的搜索引擎。
当用户遭受勒索病毒攻击后,可通过该搜索引擎获取更多病毒相关信息,如病毒名称、特征描述、是否支持解密等(搜索引擎地址https://guanjia.qq.com/pr/ls/#navi_0)
勒索病毒搜索引擎支持以下形式的内容输入检出
1)通过文件加密后缀信息搜索
2)通过勒索提示文档名信息搜索
3)通过勒索病毒留下的其它关键字搜索
2:数据解密恢复
2.1.确认被加密文件是否可以使用工具解密:
1)使用腾讯安全团队提供的勒索病毒搜索引擎,可查询该病毒是否支持使用工具进行解密,如支持解密,可直接点击下载工具对文件进行解密。(搜索引擎地址https://guanjia.qq.com/pr/ls/#navi_0)
2)通过使用腾讯电脑管家文档守护者功能,扫描被加密文件目录,也可确认该文件是否支持解密。
2.2没有解密工具的情况下还可以做什么:
中毒前如安装腾讯电脑管家或者御点终端安全管理系统,并开启了文档守护者功能,文档守护者会对系统内的重要数据进行备份保护,当系统不幸感染勒索病毒,可进行备份文件恢复。
若没有提前开启文档守护者功能,可尝试使用腾讯电脑管家工具箱内的文件恢复工具。如仍无法恢复数据,建议对被加密数据进行保存,等待未来可能出现的数据恢复方案。
2.3.为什么只有部分病毒可以解密:
绝大多数情况下,勒索病毒使用了高强度非对称加密算法对文件进行加密(例:RSA+AES),由于算法不可逆,被勒索病毒加密的文件通过常规技术手段无法解密。少数可解密情况主要包含以下场景:
1.由于勒索病毒自身设计缺陷导致的加密算法可逆,密钥泄漏场景下的文件可解密。
2.得益于警方与安全公司的合作,对勒索团伙进行打击后拿到了病毒作者手中的密钥,进而使用该密钥开发出解密工具。
3.勒索病毒作者自己放出了手中的密钥,进而开发出了解密工具。
由于上述该类型场景均为小概率事件,所以并不是所有类型勒索病毒均可以解密。
3:感染勒索病毒后正确的应急处理流程
3.1.采取适当的自救措施
用户确认遭受到了勒索病毒攻击后,建议在专业的安全人员到来之前,采取正确的紧急自救措施,以防止病毒导致灾情扩大。
自救措施可参照以下流程:
1)物理、网络隔离染毒机器
对于已经中毒的机器,建议在内网下线处理,后续确认清理病毒完毕且无风险后才能重新接入网络,避免病毒横向传播导致局域网内其它机器被动染毒。
2)工作环境风险排除
内网其他未中毒的电脑,若使用了弱口令登录的建议尽快修改,使用由字母、数字和特殊字符组合的复杂密码,并杜绝多台机器使用同一密码,避免攻击者暴力破解成功(企业网管可配置强制使用强壮密码,杜绝使用弱密码登录),具体流程可参考以下部分:
A、检查登录密码是否为弱密码,如:空密码,123456,111111,admin,5201314等。
B、检查是否开启高风险服务、端口,如:
21\22\23\25\80\135\139\443\445\3306\3389,以及不常见端口号。linux下root权限使用命令:netstat
-tnlp; windows下使用命令netstat -ano
| findstr LISTENLING,同时使用命令tasklist导出进程列表,找出可疑的正在监听端口对应的进程。
C、检查机器防火墙是否开启,在不影响正常办公的情况下,建议开启防火墙。
D、检查机器ipc空连接及默认共享是否开启,windows下使用net share命令查看,若返回的列表为空即未开启,否则为开启默认共享。列表中出现C$\D$\E$分别代表默认共享出C、D、E盘文件,且在获取到windows ipc$连接权限后,可随意读写。该类共享用不到的情况下,建议关闭,关闭方法:net share C$ /del,net share ipc$ /del……
E、检查机器是否关闭“自动播放”功能,方法:打开“运行”,输入gpedit.msc打开组策略选中计算机配置---管理模板---系统---“关闭自动播放”,双击进入编辑界面,对所有驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防U盘等外接设备传播病毒木马。打开“运行”,输入:control.exe /name
Microsoft.AutoPlay,弹出的设置对话框中,选择“不执行操作”。
F、检查机器安装软件情况,是否有低版本有漏洞软件,如:FTP Internet Access Manager 1.2、Rejetto HTTP
File Server (HFS) 2.3.x、FHFS - FTP/HTTP File Server
2.1.2等。使用命令:wmic
/output:D:\check\InstalledSoftwareList.txt product get name,version可将本机安装软件列表导出到D:\check\InstalledSoftwareList.txt中。
G、检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁,以防钓鱼、挂马类攻击。
H、检查本机系统补丁是否安装到最新,可使用安全终端提供的漏洞修复功能。
终端用户若不使用远程桌面登录服务,建议关闭;局域网内已发生勒索病毒入侵的,可暂时关闭135,139,445,3389,5900端口以减少远程入侵的可能。
3.2自救中应避免以下行为
1)立即插入移动存储设备操作染毒机器数据
部分勒索病毒具备感染移动设备的能力,此时若在病毒机器上使用移动设备,移动设备也将进一步被感染,形成一个移动的病毒源,进而给其它使用该设备的机器带来潜在风险。另外在染毒机器环境中插入移动设备,可能会导致移动设备中的重要数据也被加密,进而扩大灾情。
2)自行尝试使用网络中非安全厂商提供的各类解密工具
勒索病毒加密文件通常分为以下3个步骤
A、将磁盘文件数据读取到内存。
B、对读取到内存中的数据进行加密。
C、将加密后的数据写入磁盘,并删除原始文件。
部分情况下,遭受勒索病毒攻击后,使用专业的文件恢复工具有概率进一步找到部分加密前的原始数据,进而恢复出来。但当尝试使用网络中的不知名工具反复对磁盘进行读写操作,会破坏磁盘中存放的原始文件数据,进而丢失恢复原始文件的机会。
4:日常安全防护
A、定期进行安全培训,日常安全管理可参考“三不三要”思路
1.不上钩:标题吸引人的未知邮件不要点开
2.不打开:不随便打开电子邮件附件
3.不点击:不随意点击电子邮件中附带网址
4.要备份:重要资料要备份
5.要确认:开启电子邮件前确认发件人可信
6.要更新:系统补丁/安全软件病毒库保持实时更新
B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。
C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。
D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。
E、建议对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性。
F、建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。
G、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。
H、建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。
I、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。
J、关键应用系统定期进行安全测试和加固。
5:重要数据备份
5.1做好安全灾备方案,可按数据备份三二一原则来指导实施
A、至少准备三份:重要数据备份两份
B、两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等
C、一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。
产品方案 产品中心威胁研究威胁通告研究报告合作伙伴合作伙伴详情其他腾讯安全介绍新闻活动在线课堂友情链接腾讯云腾讯安全公众号腾讯安全视频中心Copyright©1998-2024 Tencent. All Rights Reserved.在线咨询方