如题所述
勒索病毒(英文一般叫ransomware) 是通过强加密方式将感染电脑中所有可用的文件加密后,留下一个线索指示受害人去按指示汇款来取回自己的文件,危害较大。
16年4月份时有遭遇此病毒,找了很多的资料试图解决掉这个问题,最终结果是比较沮丧的,正规途径完全没有正解,得到的多半是一些预防性的建议:
断开受感染电脑的网络,尤其是有连到公司或家庭局域网的,病毒会很快感染到电脑中的网络硬盘,甚至是备份计划中的网络路径都会受到感染。
如果有经常备份数据的习惯,建议直接全盘格式化重新装系统,因原有硬盘上的所有PDF/TXT/JPG/DOC/XLS/eml等文件都已经不可用,没有密钥的情况是不可能恢复的,直接格式化清理掉所有祸害,(我的经历中唯一有用的是OUTLOOK 2010的PST文件,三个PST大小50G左右,不知道是因为OUTLOOK常开锁定的缘故还是文件太大病毒放弃加密了)。
微软、GOOGLE等论坛的上的大多数意见是不要去按病毒的线索去尝试联系汇款给人家,有可能会造成人财两空,或是持续不断的勒索,
亡羊补牢为时未晚,从现在开始定期做好数据的离线备份、重要的用WINRAR加密码后适当的分布放在网盘,未知来源的邮件及程序管好自己的手不要去点击,杯具往往是从那一刻开始的。
通过搜索 Top ransomware ,可以了解更多的关于此类病毒/软件的信息, 目前危害较多的有如下的这些病毒: Ransom:HTML/Crowti.A, Ransom:Win32/Crowti, Ransom:HTML/Tescrypt.A, Ransom:Win32/Crowti.A, Ransom:Win32/Nymaim, Ransom:Win32/Nymaim.F, Ransom:Win32/Tescrypt.A, Ransom:Win32/Troldesh.A, Ransom:Win32/Reveton.V, Ransom:Win32/Reveton;
1、对于已中招服务器下线隔离
2、对于未中招服务器
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
事后补救永远不及未雨绸缪,企业应加强对自身数据的防御措施和自我保护意识,提前准备安全预案,部署更有效的安全防护方案,比如配置容灾备份与应急恢复系统。
壹进制黑方备份容灾融合产品UnaBCM既包含了数据保护与恢复系统,也包含了信息系统应急保障系统。能解决用户硬件或软件等故障造成的数据安全问题,解决数据逻辑层面数据不可用的安全问题,可实现本地、异地双重数据容灾管理。同时该产品建立实用的应急措施,满足RTO法规要求,通过本地、异地灾备措施,避免因本地不可抗力而造成数据丢失与业务中断风险。
步骤1:找准中毒原因,修复薄弱环节,避免二次中毒。
我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神,那就从以下几个思路入手。
1.从各类网络设备的日志中查找异常(防火墙日志);
2.从服务器操作系统安全日志查找异常;(windows安全日志,下图中日志被黑客清空了)
3.从客户端操作系统查找异常;(客户端异常登录日志)
4:利用网络上免费的病毒溯源工具查找异常。
步骤2:格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。
GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑,建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。
- 官方服务
- 官方网站官方网站
