網(wǎng)絡(luò)技術(shù)不斷發(fā)展的時(shí)代����,越來越多的企業(yè)利用網(wǎng)絡(luò)開展各項(xiàng)工作業(yè)務(wù),網(wǎng)絡(luò)為企業(yè)提供了極大便利�����,但也為企業(yè)的數(shù)據(jù)安全帶來嚴(yán)重威脅��。近日����,云天數(shù)據(jù)恢復(fù)中心接到河北某食品有限公司的求助�����,企業(yè)的計(jì)算機(jī)服務(wù)器遭到了360后綴勒索病毒攻擊�,導(dǎo)致企業(yè)計(jì)算機(jī)服務(wù)器系統(tǒng)癱瘓����,無法正常工作,嚴(yán)重影響企業(yè)的生產(chǎn)生產(chǎn)運(yùn)營��。360后綴勒索病毒屬于Beijingcrypt勒索家族�����,該家族下比較流行的勒索病毒一種是360后綴����,一種是halo后綴勒索病毒��,該勒索家族具有較強(qiáng)的攻擊與加密能力��,即使企業(yè)做好了安全防護(hù)措施���,依舊難以抵擋勒索病毒攻擊���,經(jīng)過云天數(shù)據(jù)恢復(fù)中心對(duì)360后綴勒索病毒的解密�,為大家整理了以下有關(guān)該勒索病毒的相關(guān)信息。
一,360后綴勒索病毒特征
- 加密升級(jí)��,360后綴勒索病毒近期升級(jí)了加密算法�,采用了新升級(jí)后的RSA與AES加密邏輯,具有較強(qiáng)的攻擊與加密能力,可以對(duì)計(jì)算機(jī)實(shí)施遠(yuǎn)程桌面弱口令攻擊與釣魚軟件或捆綁軟件攻擊�����,一旦入侵計(jì)算機(jī)就會(huì)偽裝成系統(tǒng)信任的軟件�,從而運(yùn)行加密程序。
- 攻擊表現(xiàn),當(dāng)計(jì)算機(jī)服務(wù)器被360后綴勒索病毒攻擊后���,企業(yè)計(jì)算機(jī)上的所有文件后綴名統(tǒng)一變成了360,并且均無法打開使用,并且還會(huì)在計(jì)算機(jī)桌面與存儲(chǔ)的所有扇區(qū)內(nèi)留下一封名為!_INFO.TXT勒索信��。
- 攻擊后果�����,360后綴勒索病毒會(huì)給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失�����,并且還會(huì)造成企業(yè)重要信息泄露的風(fēng)險(xiǎn),嚴(yán)重影響企業(yè)的正常工作運(yùn)轉(zhuǎn)�,給企業(yè)的信譽(yù)與口碑帶來不好的影響����。
二,360后綴勒索病毒解密
- 整機(jī)解密,360后綴勒索病毒采用了全字節(jié)加密方式,所有文件幾乎沒有任何漏洞�����,如果想要解密的文件格式類型中包括數(shù)據(jù)庫和辦公格式類的文件��,可以采用整機(jī)解密的方式,整機(jī)解密成本較高,但數(shù)據(jù)恢復(fù)完整度高�。
- 數(shù)據(jù)庫破解�,專業(yè)的數(shù)據(jù)恢復(fù)機(jī)構(gòu)針對(duì)市面上的多種后綴勒索病毒有著豐富的數(shù)據(jù)庫解密經(jīng)驗(yàn)��,針對(duì)360后綴勒索病毒的加密漏洞與早期未中毒的備份文件�����,可以制定出合理的解密方案,數(shù)據(jù)庫恢復(fù)完整度高,數(shù)據(jù)恢復(fù)安全高效。
三�����,360后綴勒索病毒防范
- 減少計(jì)算機(jī)服務(wù)器端口共享與映射操作�����,避免計(jì)算機(jī)端口長時(shí)間暴露在公網(wǎng)之上�����。
- 安裝可靠的防勒索病毒軟件,如金絲甲防護(hù)���,定期系統(tǒng)查殺,修補(bǔ)漏洞���,即使后期被勒索病毒攻擊,可以提供免費(fèi)解密服務(wù)���,解密不成功三倍賠付。
- 定期備份系統(tǒng)文件��,并做好物理隔離���,預(yù)防特殊情況的發(fā)生�。
- 提高全員網(wǎng)絡(luò)安全意識(shí)�。
人在工位坐,禍從天上來”,電腦中毒后的辦公室文員何女士無奈地說。
1月14日上午12點(diǎn)前后,何女士接收一封未知來源�、內(nèi)附zip附件的郵件����。因怕錯(cuò)過重要消息,她及時(shí)保存附件并解壓打開,點(diǎn)擊壓縮包內(nèi)竟是一個(gè)空的doc文檔���?��!霸瓉磉@是一封垃圾郵件,和以往處理類似的情況一樣,我采用‘閱后即焚’的方式把它扔到回收站內(nèi)”,何女士說�����。
(圖:攻擊郵件展示)
可是事情并沒有這么簡單�。午休過后的何女士打開電腦竟然發(fā)現(xiàn),桌面彈出勒索信息彈窗,要求何女士聯(lián)系桌面指定郵箱來獲取解密工具,否則電腦文檔將無法解密���。無奈的何女士第一時(shí)間向騰訊電腦管家求助�。
(圖:勒索信息彈窗頁面)
騰訊電腦管家工程師溯源分析后,發(fā)現(xiàn)何女士電腦是遭Cryakl勒索病毒變種感染所致。目前,該病毒變種主要依靠惡意郵件傳播,一般惡意郵件內(nèi)含惡意宏代碼的doc文檔,當(dāng)接收者打開文檔,在啟用宏功能的情況下,便會(huì)觸發(fā)惡意宏代碼下載執(zhí)行Cryakl勒索病毒,最終實(shí)現(xiàn)對(duì)重要文件加密,對(duì)中毒用戶信息財(cái)產(chǎn)安全造成極大的威脅���。
與此同時(shí),技術(shù)專家在病毒未退出內(nèi)存時(shí)發(fā)現(xiàn),受害用戶有機(jī)會(huì)完成解密恢復(fù),不過普通用戶很難做到。對(duì)此,騰訊電腦管家技術(shù)專家表示,對(duì)于普通用戶而言,養(yǎng)成經(jīng)常備份重要文檔的習(xí)慣是應(yīng)對(duì)此類勒索病毒的正確方式,在遭遇勒索病毒破壞時(shí),可以真正做到有備無患��。
值得關(guān)注的是,Cryakl病毒作者采用的攻擊方式正是專業(yè)APT組織慣用的手段之一,表明目前越來越多技術(shù)較強(qiáng)的普通病毒作者也在用類似手法對(duì)普通網(wǎng)民發(fā)起攻擊,例如在精心構(gòu)造的魚叉釣魚郵件附件中使用帶漏洞攻擊的特殊文檔,以及利用高危漏洞入侵企業(yè)服務(wù)器系統(tǒng)等����。
為保護(hù)用戶免受Cryakl勒索病毒攻擊影響,騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒企業(yè)網(wǎng)絡(luò)管理人員,建議關(guān)閉不必要的端口和文件共享,盡量使用高強(qiáng)度的密碼,避免使用弱口令密碼,定期對(duì)重要文件和數(shù)據(jù)進(jìn)行定期非本地備份,同時(shí)推薦全網(wǎng)安裝御點(diǎn)終端安全管理系統(tǒng)�����。目前御點(diǎn)具備終端殺毒統(tǒng)一管控�、修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位的安全管理功能,可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況����、保護(hù)企業(yè)安全�。
(圖:騰訊御點(diǎn)終端安全管理系統(tǒng))
對(duì)于普通用戶來說,馬勁松建議,謹(jǐn)慎點(diǎn)擊來源不明的郵件附件,關(guān)閉Office的宏功能,同時(shí)保持安全軟件處于開啟并運(yùn)行狀態(tài),及時(shí)修復(fù)系統(tǒng)漏洞,實(shí)時(shí)攔截病毒風(fēng)險(xiǎn)�����。除此之外,他建議個(gè)人用戶在上網(wǎng)過程中,應(yīng)注意養(yǎng)成隨時(shí)備份重要文件的好習(xí)慣,推薦使用騰訊電腦管家“文檔守護(hù)者”工具對(duì)重要文件和數(shù)據(jù)進(jìn)行定期備份,全面保護(hù)文檔安全����。
來源:東北新聞網(wǎng)
著網(wǎng)絡(luò)技術(shù)在企業(yè)生產(chǎn)運(yùn)營中的進(jìn)行����,越來越多的企業(yè)開始利用網(wǎng)絡(luò)走向數(shù)字化辦公模式,數(shù)字化辦公是企業(yè)的較為智能與先進(jìn)的辦公系統(tǒng)�����,這要求企業(yè)在日常工作中要確保計(jì)算機(jī)系統(tǒng)的安全����,以防網(wǎng)絡(luò)安全威脅時(shí)間的產(chǎn)生。近期,云天數(shù)據(jù)恢復(fù)中心接到很多企業(yè)的求助,企業(yè)的計(jì)算機(jī)服務(wù)器遭到了locked勒索病毒攻擊��,導(dǎo)致企業(yè)所有業(yè)務(wù)中斷��,嚴(yán)重影響了企業(yè)生產(chǎn)運(yùn)營����。經(jīng)過云天數(shù)據(jù)恢復(fù)工程師對(duì)近期locked勒索病毒的解密�����,為大家整理了正確處理locked勒索病毒的流程。
一,Locked勒索病毒處理流程
- 斷網(wǎng)斷連接,當(dāng)發(fā)現(xiàn)計(jì)算機(jī)服務(wù)器被locked勒索病毒攻擊����,我們應(yīng)該立刻斷開網(wǎng)絡(luò)連接����,并且切斷計(jì)算機(jī)與其他計(jì)算機(jī)或設(shè)備的連接�,以防勒索病毒的傳播。
- 結(jié)束加密進(jìn)程,勒索病毒是計(jì)算機(jī)上的一種加密程序���,如果該計(jì)算機(jī)中了勒索病毒,我們打開計(jì)算機(jī)后應(yīng)該先結(jié)束加密進(jìn)程�����,預(yù)防后期操作過程中產(chǎn)生新的加密��,同時(shí)按下ctrl+ail+delet鍵�����,進(jìn)入任務(wù)管理器結(jié)束加密操作。
- 拷貝加密文件�,當(dāng)計(jì)算機(jī)上的重要數(shù)據(jù)被加密后����,我們需要對(duì)需要解密恢復(fù)的加密數(shù)據(jù)進(jìn)行拷貝�,以防在后期數(shù)據(jù)恢復(fù)過程中帶來給源文件帶來的損壞,為二次恢復(fù)帶來困難。
- 咨詢專業(yè)機(jī)構(gòu)���,勒索病毒有著嚴(yán)密的加密程序,非專業(yè)技術(shù)人員很難破解,并且同一種病毒的加密程序一直在升級(jí)���,解密方式也在發(fā)生變化,網(wǎng)絡(luò)上的解密工具一般很難破解。只有專業(yè)的數(shù)據(jù)恢復(fù)機(jī)構(gòu)對(duì)勒索病毒解密有著豐富的經(jīng)驗(yàn)�,針對(duì)不同的勒索病毒可以制定出不同的解密方案。
- 安裝防護(hù)軟件���,當(dāng)計(jì)算機(jī)重要數(shù)據(jù)恢復(fù)完成后,我們應(yīng)該對(duì)計(jì)算機(jī)進(jìn)行全盤掃殺格式化�,重裝系統(tǒng)部署相應(yīng)的應(yīng)用軟件���,之后才能導(dǎo)入恢復(fù)的數(shù)據(jù)完成恢復(fù)操作���,然后再對(duì)計(jì)算機(jī)系統(tǒng)做好安全防護(hù)����,預(yù)防特殊情況的發(fā)生。
二�����,Locked勒索病毒解密方案
- 整機(jī)解密��,整機(jī)解密就是可以將計(jì)算機(jī)上的所有文件包括數(shù)據(jù)庫文件��,各類辦公圖檔或視頻,不限文件格式進(jìn)行全面恢復(fù)的解密方式���,這種解密方式數(shù)據(jù)恢復(fù)完成度高,數(shù)據(jù)不容易丟失,但一般費(fèi)用相對(duì)昂貴���。
- 數(shù)據(jù)庫解密,一般企業(yè)的重要信息都存在數(shù)據(jù)庫中,解密數(shù)據(jù)庫是大部分企業(yè)的恢復(fù)方式,這種解密方式數(shù)據(jù)恢復(fù)完成度也不低�,但經(jīng)濟(jì)劃算����。專業(yè)的技術(shù)團(tuán)隊(duì)��,對(duì)數(shù)據(jù)庫的解密恢復(fù)有著豐富經(jīng)驗(yàn)��,結(jié)合不同勒索病毒的加密程度與漏洞,結(jié)合該病毒的解密經(jīng)驗(yàn)����,可以制定完善的解密方案。
- 備份恢復(fù)����,如果企業(yè)擁有近期未中毒的備份數(shù)據(jù)��,可以利用備份恢復(fù),這種恢復(fù)方式可以將系統(tǒng)數(shù)據(jù)恢復(fù)到備份之前的狀態(tài)���,有的專業(yè)機(jī)構(gòu)可以利用備份進(jìn)行勒索病毒解密,這種數(shù)據(jù)恢復(fù)操作給企業(yè)帶來的經(jīng)濟(jì)損失較少����。
三���,locked勒索病毒防護(hù)
- 減少共享與端口映射操作����。
- 安裝可靠的防勒索病毒軟件���,定期系統(tǒng)查殺�,維護(hù)系統(tǒng)口令密碼。
- 定期備份系統(tǒng)文件�����,將備份文件物理隔離�����。
- 提高全員網(wǎng)絡(luò)安全意識(shí)����。
