勒索病毒

自述:中了勒索病毒后的一波挽救操作!(灾备云—数据备份、恢复)

匆匆过客 提交于 2020-04-02 08:15:50
(IDC彭帅) 自从用上了Ucache灾备云的云备份服务之后,简真方便的不得了,提醒大家数据千万条,安全第一条,一定要及时把想备份的内容做个备份!现在就和大家说说我自从中了勒索病毒之后怎么用上云灾备的故事吧! 一、事件起因:公司服务器中了“勒索病毒” 因为公司托管的服务器过年这段时间运维都放假了没人管理,结果就中招了“勒索病毒”。导致服务器里的OA系统、财务系统等文件全部被加密,因为平时也没有做备份的习惯,这下真是肠子都要毁青了。这也是我要告诉大家为什么要做这个数据备份的原因? 二、灾难分析:中招了“勒索病毒”后数据怎么恢复? 第一时间已经把服务器进行了远程关闭。之后,一方面IDC服务商那边说目前没有技术可以破解,数据恢复的可能性较小,另一方便之前也有用户交了赎金后发现对方不守信还是没给数据,或者给的数据不可用或者不完整。而且这类事件并不受国家法律保护!另一方面也要给公司个交待还是想办法从网上找了一家数据恢复的B公司,想尝试看看。 三、天赐良缘:ucache灾备云平台免费普及计划 也是一次偶然的机会,知道这个ucache灾备云平台有个免费普及计划,正好就用到了,确实也是因为像我们这种中小企业哪有几十万的资金去建一套自己的容灾系统呀,想都不敢想,正好这次数据需要搬迁,更重要的是领导说以后的备份做到位,但钱嘛,你懂的。低成本的解决公司的数据备份问题,还得不出问题,太难了吧!机会来了

记一次亲身体验的勒索病毒事件 StopV2勒索病毒

此生再无相见时 提交于 2020-02-27 00:23:49
昨天给笔记本装了 windows server 2016 操作系统,配置的差不多之后,想使用注册机激活系统。使用了几个本地以前下载的注册机激活失败后,尝试上网搜索。 于是找到下面这个网站( 这个网站下载的注册机是勒索病毒, 千万不要在这里下载) 下载的注册机运行后,电脑自带的defender提醒危险,我心想注册机提示危险也正常,直接给关了,由于刚装系统,电脑还没装360等杀毒软件。注册机运行后,自动启动cmd,执行时间明显比以前用的注册机时间长。 右下角弹出一个带进度条的 windows update 弹窗,提醒我需要更新系统,期间不要关闭电脑,我寻思激活系统还需要更新?有点怀疑但还是没关闭。(其实病毒已经开始加密文件了) https://www.freebuf.com/column/200907.html 期间自动打开浏览器,进入了一个色情游戏(到这里我又感觉有点不对了,但是没有足够重视),由于游戏是英文的,我随便点了点不会玩就关了。 右下角进度大概到了百分之二十多,时间大约过去十几分钟,我实在不想等了,想着网上买个激活码也就十几块钱,不折腾了,于是我尝试弹出移动硬盘(之前的注册机在硬盘里,真是后悔当时插着硬盘,还好重启的早,硬盘文件损失较小),提示文件占用,于是我直接拔了硬盘线,电脑弹出提示,好像是硬盘里一个文件修改失败了(其实病毒开始加密我的硬盘文件了

防范勒索病毒

白昼怎懂夜的黑 提交于 2020-01-30 14:46:19
勒索病毒 2017年面向企业服务器勒索比特币 2018年 面向个人电脑 勒索微信付款 2019年针对政府网、国企、事业单位 勒索病毒防范 先拔掉网现在开机,避免被勒索病毒感染 开机后尽快打补丁,或安装各家网络安全公司的防御工具,才可联网 尽快备份电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘 对于不明链接、文件、和邮件要提高警惕 利用系统防火墙高级设置阻止向445端口进行连接(网络共享打印机端口) 开启防火墙 高级设置 入站规则 新建规则 端口>> 下一步>>下一步>>完成 来源: 51CTO 作者: 纵马且长歌 链接: https://blog.51cto.com/14310201/2440893

WannaCry 勒索病毒用户处置指南

為{幸葍}努か 提交于 2019-12-21 06:46:17
一、前言 北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。 今年4月14日黑客组织Shadow Brokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows的445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。 本次事件影响范围广泛

国内勒索病毒疫情严重 每天十多万台电脑被感染

吃可爱长大的小学妹 提交于 2019-12-05 10:41:05
4月10日消息,国内安全团队近日发出安全警报,报告称国内勒索病毒疫情非常严峻,政府、企业和个人用户都在被攻击之列,而 系统漏洞是勒索软件攻击的主要入口。 据了解,每天感染用户电脑的勒索病毒有10多种(家族),每天感染量高达10-15万台电脑,其中以漏洞为传播途径的勒索病毒占90%以上。 图:勒索病毒单日攻击次数最多的5个 由上图可见,虽然勒索病毒有系统漏洞、病毒邮件、网页挂马等多种传播途径,但通过漏洞传播的勒索病毒感染数量最多,给机构和个人带来的危害最大。上述 被感染用户的共同特点是电脑裸奔——既没给系统漏洞安装补丁程序,也没有安装合格的安全软件。 另外,国内大量用户使用盗版系统,导致系统补丁更新不及时或者更新困难,也是病毒疫情高居不下的重要原因。 案例一:福建某上市公司的服务器被勒索病毒Ransom/Bunnyde入侵,导致该企业核心的ERP(财务系统)数据库被加密,向病毒团伙支付了数万人民币赎金后,获得密钥恢复了数据。该病毒是利用垃圾邮件和漏洞等方式传播,几维安全工程师调查发现,该企业服务器既没安装补丁程序,又没安装任何安全软件。 案例二:某个人网站运营者的电脑感染了勒索病毒,导致其网站大部分数据被加密,迫不得已暂时关停了网站。几维安全工程师调查发现,该网友使用的服务器系统Windows Server 2008存在风险漏洞,但是没有安装SP补丁和其他的系统补丁

勒索病毒之解密工具大全

两盒软妹~` 提交于 2019-12-05 01:05:02
怎么判断病毒所属呢? 1、通过勒索信息文件、加密后文件后缀等勒索特征判断勒索病毒家族。 2、选择对应家族(如有版本也应选择对应版本)的解密工具; 3、解密前需对重要的数据进行备份(即使处于被加密状态),以防止解密失败造成损失; 4、解密前需确保系统中的勒索病毒已被清除,否则可能遭到重复加密; 5、部分解密工具可能需要特定的解密环境(如在原始受感染的主机上进行解密、需要同时提供加密文件和原文件等),具体请参考工具中的说明。 6、解密工具可能只对某些家族的特定版本生效。 自动识别病毒样本 的站点 #勒索信息综合性查询网站 深信服EDR查询 https://edr.sangfor.com.cn/#/information/ransom_search 启明星辰勒索病毒搜索引擎 https://lesuo.venuseye.com.cn/ botfrei.de网站 https://www.botfrei.de/de/ransomware/galerie.html 2综合性解密工具 卡巴斯基:勒索软件解密工具集 https://noransom.kaspersky.com/ Avast:勒索软件解密工具集 https://www.avast.com/zh-cn/ransomware-decryption-tools Trendmicro:勒索软件解密方案 https://esupport

勒索病毒和相应的解密工具

馋奶兔 提交于 2019-11-30 12:50:49
大多数企业在中了勒索病毒之后都会非常恐慌,不知怎么办,最直接的办法就是把中毒的机器进行隔离,断网处理,然后等待专业的安全服务人员上门进行处理,针对一般的勒索病毒应急处理方法,如下: 1.断网处理,防止勒索病毒内网传播感染,造成更大的损失; 2.查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本; 3.确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密; 4.进行溯源分析,确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞; 5.做好相应的安全防护工作,以防再次感染。 对于新型的勒索病毒样本,安全服务人员还会将样本提交到专业的安全分析师手中,对样本进行详细分析,看能否解密,同时需要对新型的勒索病毒样本进行特征入库操作等等。 如果企业中了勒索病毒,哪些勒索病毒是可以解密的呢?怎么解密,有哪些相关的解密网站?这里给大家介绍几个关于勒索病毒信息查询以及解密的网站,可以在这些网站查询勒索病毒相关信息,以及下载相应的解密工具进行解密。 勒索病毒信息查询网站: https://www.botfrei.de/de/ransomware/galerie.html (可惜的是这个网站从2018年后就不在更新了) 勒索病毒信息查询网站: https://id-ransomware.malwarehunterteam.com/ 卡巴斯基勒索病毒解密工具集: https:/

Nemty 勒索软件代码中包含对杀毒软件公司的强烈措辞

孤街醉人 提交于 2019-11-28 19:52:11
一个来自Nemty勒索病毒家族的样本代码中隐藏了针对反病毒行业措辞强烈的信息。 通过对威胁的研究,Bleeping Computer发现勒索软件删除了加密文件的影子副本。这一操作可防止受害者自行恢复文件数据。在完成加密程序后,恶意加密软件将显示赎金票据,引导受害者访问在Tor网络上托管的支付门户网站,并提交0.09981BTC(价值1010.74美元)的赎金以换取相应的解密工具。 然而,这款勒索病毒与家族其他成员不同的是,在它的代码中隐藏了一些信息。首先,Bleeping Computer发现样本采用“hate”作为互斥量对象的名称。其次,研究人员注意到Nemty如何使用针对反病毒行业的措辞强烈的消息作为解密base64字符串并创建URL的密钥的名称。 看看其他病毒隐藏的信息 Nemty并不是唯一的在代码中隐藏信息的恶意程序。例如,2015年的12月,Emsisoft在分析一款Radamant勒索软件变种时,发现其命令和控制(C&C)服务器的可执行文件和域名使用了对安全公司表示不满的字符串。几个月后,在2016年6月,这家反病毒软件提供商偶然发现一个病毒样本中包含针对研究人员的侮辱性的启示录。 这与Bleeping Computer报道Black Shades 加密勒索软件样本大致相同,该软件使用隐藏的信息嘲讽正在分析它的研究人员。 如何预防Nemty 勒索软件

怎么才能预防勒索病毒呢?

三世轮回 提交于 2019-11-28 14:05:01
勒索病毒,是一种新型电脑病毒,主要以邮件、程序***、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解,那么大家是否了解如何预防勒索病毒呢?下面香港服务器托管客服为大家介绍:   1、避免在香港服务器租用中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。   2、多台机器不要使用相同或类似的登录口令,以免出现"一台沦陷,全网瘫痪"的惨状。   3、重要资料一定要定期隔离备份。可以选择备份一体机这种方式来备份,进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份。   4、及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。   5、关闭非必要的服务和端口如135、139、445、3389等高危端口。   6、严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。   7、提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。   8、安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。