Rachelchel
共5条回答184浏览
-
-
一、历史备份还原 如果已经对系统或者文件进行了备份,那么将不会再担忧和烦恼了。可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,第一要隔离中招主机,还要确保系统中的病毒已被清除,已经对磁盘进行格式化或者是重装了系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。事先进行备份,既是最有效也是成本最低的恢复文件和系统的方式。二、解密工具恢复 绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。 但是,对于以下三种情况,可以通过互联网上的解密工具恢复感染文件。1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法。2)勒索病毒的制造者主动发布了密钥或主密钥。3)执法机构查获带有密钥的服务器,并进行了分享。 需要注意的是:使用解密工具之前,务必要备份加密的文件,防止解密不成功导致无法恢复数据。三、专业人员代付 勒索病毒的赎金一般为比特币或者其他数字货币,数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在:1)统计显示,95%以上的勒索病毒攻击者来自境外,由于语言不通,容易在沟通上产生误解,影响文件的解密。2)数字货币交付需要在特定的交易平台下进行,不熟悉数字货币交易时,容易人才两空。 所以,即使支付赎金可以解密,也不建议自行支付赎金。建议联系专业的数据恢复公司进行处理,以保证数据能成功安全的恢复。
-
-
-
一旦确认遭受勒索病毒攻击,我们要立即隔离感染设备、排查感染范围、研判攻击事件、尝试进行勒索病毒破解。1.隔离勒索病毒感染设备①物理隔离:断网断电、关闭无线网络、关闭蓝牙连接、拔掉存储设备②修改口令:修改感染设备、最高级系统管理员账户以及同一局域网下的其他设备的密码2.排查勒索病毒感染范围①信息泄露排查:敏感信息存储设备异常访问②网络拓扑排查:网络拓扑、业务结构③业务系统排查:核心业务系统、数据备份系统④数据备份排查:数据备份可用、备份设备对接3.研判勒索病毒攻击事件①研判勒索病毒种类②研判攻击侵入手段:查看设备保留日志和样本,判断攻击侵入的方式4.尝试进行勒索病毒破解①已知私钥破解②加密漏洞破解③明密文碰撞解密④暴力破解参考来源:2021年9月中国信通院《勒索病毒安全防护手册》
-
-
-
1、在安全的电脑上下载工具,NSA TOOL工具和文档卫士,百度搜索即可找到官方下载网址。
2、通过U盘将下载好的安装包复制到中病毒的电脑上,此时请先断开电脑网络,关闭无线,拔掉网线。
3、双击文件,确定使用,软件自动运行自解压程序,几秒钟即可解压完成,自动运行工具包。
4、查杀完毕后,安装文档卫士,文档卫士自动运行,软件会在每次打开文档时进行备份,开机会提示备份情况。
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
传播途径:
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
-
-
-
注意:也可持续关注相关安全厂商的处理办法,等待更加优越的完美解锁方案。
-
-
-
勒索病毒的解决如下:
1、及时止损(拔网线)。
能拔网线的直接拔网线,物理隔离,防止出现「机传机」的现象。如果是云环境,没法拔网线,赶紧修改安全组策略,总之,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通讯,防止内网感染。
改密码!如果被勒索的机器和未被勒索的机器存在相同的登陆口令(相同的密码),及时修改未感染机器的登陆口令。
保护好案发现场,不要重启!不要破坏被勒索的机器环境,保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致系统完全崩溃,严重影响后续动作。
关端口及时关闭未感染机器远程桌面/共享端口(如:22/135/139/445/3389/3306/1521)对未感染的重要机器进行隔离备份,备份后及时物理隔离开备份数据,如:硬盘或者 u 盘备份后需要及时拔掉。
不要联系黑客,在不了解勒索病毒的情况下,建议不要直接联系黑客(容易钱财两空)。
2、确定影响范围。
止损之后,逐一排查感染规模及环境(是 OA 还是服务器/一共中了多少台),可通过网络区域划分,防火墙设备、流量检测设备辅助快速确认影响范围。
3、病毒提取和网络恢复。
取证,通过对被勒索机器进行取证提取病毒样本,或结合终端防病毒软件,对影响区域内或可疑区域进行逐台确认,是否有遗留的病毒样本,确保所有机器上的病毒样本均已查杀;恢复网络制定网络恢复计划,优先对非重要区域的终端进行网络恢复,恢复过程中需通过流量检测设备进行实时监测,确保恢复后不会出现横移情况;直至全部网络恢复。
4、数据恢复和解密。
目前绝大多数勒索病毒均无法解密(在没有拿到解密密钥的情况下),通常有如下几种选择:如有数据备份,则可以直接通过数据备份进行恢复;放弃数据恢复;联系勒索者缴纳赎金,但是不建议自己联系,最好是专业的服务商协助,他们比较知道怎么跟勒索者谈判。
5、溯源分析。
溯源分析的目的,并不是是查到勒索者是谁,而是找到勒索入侵的源头(从哪台机器上进来的),即 0 号主机,然后进行相应的安全加固,以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征,可以判断勒索病毒家族;
对于内部攻击路径溯源,需依托于网络、安全设备日志以及感染/关联终端日志记录,包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注:因为很多勒索病毒存在反侦察手段,终端环境可能会被清理,如果没有流量监控等相关设备,溯源难度会非常大。
6、安全加固。
修复内网中高危漏洞,确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口,如:445、3389等。对重要系统进行异地物理备份,确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域,各个区域之间使用严格的ACL,避免攻击者大范围横向移动扩散。
-
