上周是困苦、难熬、头疼的一周,阿里云服务器被勒索病毒攻击了,很多内部资料被加密,导致业务瘫痪,举步维艰。
勒索病毒,是一种新型病毒,黑客主要以邮件、程序木马、网页挂马的形式攻击系统,这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,需要拿到解密的私钥才有可能破解,感染后将给用户带来无法估量的损失,性质恶劣、危害极大。
通过几天时间的研究,了解到勒索病毒工作流程一般为:
1、通过脚本文件进行Http请求;
2、再通过脚本文件下载病毒文件;
3、读取远程服务器文件;
4、遍历服务器文件;
6、用加密算法对文件进行加密。
被黑客攻击后,立马进入服务器查看,发现每个文件都被改成一大串数字,后缀名为.actin,打开文件提示ALL your files have been encrypted! 此时的心里是拔凉拔凉的。和同事共同想办法是否能解决,分为三步走:
(一)联系阿里云,提交工单,让客服加急处理查找原因,不然就投诉,把其他的数据进行备份,当时心里挺气愤的,一直相信阿里云在拦截这块做的很好,没想到啊。
(二)联系以前的技术同事,他们也曾遭遇过黑客攻击,了解他们的处理办法,给出建议后我们立马进行尝试。
(三)按黑客提供的邮箱,发送邮件,了解解密的要求及金额,等的回复邮件那是度日如年,到了晚上十点多才给个简单的回复。
其实还是期待阿里云能解决,但最后的结果还是令人失望的,寻求第三方公司和其他工具都是效果不大,着急的我们实在没办法就尝试和黑客联系,给出的条件特高还是比特币交易。
最后还是重做系统,按部就班的把以前的工作逐一核对,一步一步的发布程序,耗时耗力,带来的数据损失不可估量。
个人真实的案例提醒各位企业用户,一定要在内网、服务器管理方面养成良好的安全习惯,提高风险防范意识,并正确使用安全软件,避免被病毒攻击带来不可挽回的损失。
以下总结了自己的几点建议,我们可以从安全技术和安全管理两方面入手:
1、不要打点击来历不明的邮件,防止通过邮件附件的攻击;
2、勿点击office宏运行提示,避免来自office组件的病毒感染;
3、从正规途径下载软件,不要双击打开.js、.vbs等后缀名文件;
4、在服务器里安装360杀毒软件或者安全狗;
5、定期异地备份重要的数据和文件,阿里云的可以使用快照,中病毒后可以回滚磁盘;
6、更改服务器口令、多台机器不使用相同或相似的口令;
7、及时更新系统漏洞。
8、安全加固,对服务器和终端安装专业的安全防护软件
9、对内网安全域进行合理划分,各个安全域之间限制严格的 ACL等