您当前的位置:首页 > 电脑百科 > 安全防护 > 病毒

人手必备!勒索病毒应急自救手册

时间:2019-10-16 13:15:09  来源:  作者:


一、背景

自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对企事业单位等各类组织直接威胁最大的一类木马病毒。勒索病毒通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。

二、勒索病毒中毒特征

勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。

1. 业务系统无法访问

勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营。

2. 电脑桌面被篡改

服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,如下图:

 

人手必备!勒索病毒应急自救手册

 

服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改,并且使得文件无法正常打开。

 

人手必备!勒索病毒应急自救手册

 

 

三、自救措施

✦ 正确处置方法

(一)隔离中招主机

当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段。

①物理隔离

物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。

②访问控制

a.避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上,并关闭445、139、135等不必要的端口。

b.将服务器密码修改为高强度的复杂密码。

隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。

有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪,造成无法估量的损失。

(二)排查业务系统

在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。

所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。

✦ 错误的处置方法

(一)使用移动存储设备

当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。

(二)读写中毒主机上的磁盘文件

当确认服务器已经被感染勒索病毒后,反复读取磁盘上的文件可能会而降低数据正确恢复的概率。

四、勒索病毒排查

1. 文件排查

(1)开机启动有无异常文件

【开始】➜【运行】➜【msconfig】

(2)各个盘下的 temp(tmp)相关目录下查看有无异常文件

(3)Recent 是系统文件夹,里面存放着最近使用的文档的快捷方式,查看用户 recent 相关文件,通过分析最近打开分析可疑文件:

【开始】➜【运行】➜【%UserProfile%Recent】

(4)查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。

2. 进程排查

(1)netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED,例如

 

人手必备!勒索病毒应急自救手册

 

 

(2)根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位,例如

 

人手必备!勒索病毒应急自救手册

 

 

(3)根据 wmic process 获取进程的全路径 [任务管理器也可以定位到进程路径]

 

人手必备!勒索病毒应急自救手册

 

 

3. 系统信息排查

(1)查看环境变量的设置

排查内容:temp 变量的所在位置的内容;后缀映射 PATHEXT 是否包含有非windows 的后缀;有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查)。

(2)Windows 计划任务

排查可疑的windows计划任务。

(3)Windows 帐号信息,如隐藏帐号等

【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】排查可疑的用户信息 (用户名以$结尾的为隐藏用户,如:admin$)

(4)查看当前系统用户的会话

使用➜ query user 查看当前系统的会话,比如查看到有人使用远程终端登录服务器,可使用logoff 踢出该用户;

(5)查看 systeminfo 信息,系统版本以及补丁信息,及时打补丁

五、勒索病毒预防措施

 

勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:

(1)安装杀毒和安全防护软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行;定期进行全盘杀毒。

(2)开启系统自动更新功能或使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。

(3)密码一定要使用强口令,并且不同账号使用不同密码。

(4)重要文档数据应经常做备份。

(5)若长时间离开电脑随手关机。

(6)尽量不要启用文件共享功能和远程桌面功能。

(7)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。



Tags:勒索病毒   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、背景介绍永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获...【详细内容】
2021-12-27  Tags: 勒索病毒  点击:(3)  评论:(0)  加入收藏
勒索病毒是一种计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播。一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业和个人用户大量重要文...【详细内容】
2021-07-27  Tags: 勒索病毒  点击:(221)  评论:(0)  加入收藏
勒索病毒事件愈来愈多 近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重...【详细内容】
2020-12-18  Tags: 勒索病毒  点击:(186)  评论:(0)  加入收藏
一、故障状况北亚数据恢复中心接到某公司一台被加密的SqlServer数据库,客户要求对数据库进行解密,数据库基本情况如下:数据库: SQL server版本: 2008R2故障状况: 数据库被加密,无法...【详细内容】
2020-09-30  Tags: 勒索病毒  点击:(309)  评论:(0)  加入收藏
根据“火绒威胁情报系统”监测,近期出现多起勒索病毒加密文件后缀名为“shanghai3”和“beijing”事件,极具地域性和本土特色,请广大用户小心。 需要注意的是,此前同一个勒索病...【详细内容】
2020-08-18  Tags: 勒索病毒  点击:(139)  评论:(0)  加入收藏
勒索病毒发展至今,360互联网安全中心已累计接收到数万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与...【详细内容】
2020-08-11  Tags: 勒索病毒  点击:(316)  评论:(0)  加入收藏
这几年电脑病毒木马似乎少了,但有一类除外,那就是勒索病毒。和传统的病毒相比,勒索病毒并不会对系统文件造成破坏,只会对用户数据进行加密,因此很多杀软都会眼睁睁地放过它。然而...【详细内容】
2020-07-24  Tags: 勒索病毒  点击:(100)  评论:(0)  加入收藏
一、背景自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对企事业单位等各类组织直接威胁最大的一类木马病毒。勒索病毒通常以垃圾邮件、服务器入侵、网...【详细内容】
2019-10-16  Tags: 勒索病毒  点击:(170)  评论:(0)  加入收藏
日前,优炫软件安全研究院监测到多个活跃计算机病毒,其中LooCipher属于新型勒索病毒,主要通过垃圾邮件进行传播,广大客户一定要做好防范活跃病毒的安全部署。 LooCipher勒索病毒L...【详细内容】
2019-08-22  Tags: 勒索病毒  点击:(1778)  评论:(0)  加入收藏
上周是困苦、难熬、头疼的一周,阿里云服务器被勒索病毒攻击了,很多内部资料被加密,导致业务瘫痪,举步维艰。 勒索病毒,是一种新型病毒,黑客主要以邮件、程序木马、网页挂马的形式...【详细内容】
2019-08-01  Tags: 勒索病毒  点击:(302)  评论:(0)  加入收藏
▌简易百科推荐
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  walkingcloud    Tags:挖矿病毒   点击:(386)  评论:(0)  加入收藏
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将...【详细内容】
2021-08-30  Linf    Tags:计算机病毒   点击:(97)  评论:(0)  加入收藏
勒索病毒是一种计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播。一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业和个人用户大量重要文...【详细内容】
2021-07-27    河南网警  Tags:勒索病毒   点击:(221)  评论:(0)  加入收藏
如果你是一名很早就开始上网冲浪的高手,那么对于2006年风靡一时的熊猫烧香一定不会陌生,与更早开始流行的灰鸽子不同,熊猫烧香是一款拥有自动传播、自动感染硬盘能力和强大的破...【详细内容】
2021-07-23    中关村在线  Tags:杀毒软件   点击:(170)  评论:(0)  加入收藏
大家好,不知道你们有没有意识到一个问题:现如今,计算机病毒似乎不像多年前那样令人头疼了。在十几年前,清理病毒简直就是计算机用户的家常便饭,尤其如打印店、网吧这种密集场所,你...【详细内容】
2021-06-01    中关村在线  Tags:中毒   点击:(143)  评论:(0)  加入收藏
最近在网上看到好多的用户被这个名叫Incaseformat的病毒侵袭电脑,导致电脑除了C盘以外的所有的磁盘都被格式化了。这让很多小伙伴遇到这个病毒的时候不知所措,不知道该如何去...【详细内容】
2021-01-22      Tags:Incaseformat   点击:(240)  评论:(0)  加入收藏
1 月 13 日晚,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。该蠕虫病毒主要通过 U 盘传播,感染用户机...【详细内容】
2021-01-15      Tags:蠕虫病毒   点击:(194)  评论:(0)  加入收藏
12月初,我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。...【详细内容】
2021-01-05      Tags:蠕虫   点击:(175)  评论:(0)  加入收藏
勒索病毒事件愈来愈多 近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重...【详细内容】
2020-12-18      Tags:勒索病毒   点击:(186)  评论:(0)  加入收藏
随着信息化的发展,数据安全的重要性愈加突出。据最新的 Hiscox 全球网络安全统计,在勒索软件攻击事件当中,64%以上的用户是中小企业。因此,制定完善的灾备策略,是抵御网络威胁的...【详细内容】
2020-12-15      Tags:勒索者病毒   点击:(145)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条