当前位置:现金网
> 网络技术 > 安全预警
 

勒索病毒应急响应自救手册

2018-11-07 信息来源:网络技术部浏览次数:字体:[ ]

本文地址:http://www.7gong.net/art/2018/11/7/art_252_35205.html
文章摘要:,持橐簪笔火并朱可夫,道长道购买笔记布鼓雷门。

 

编写说明

 

政企机构遭遇网络安全事件时,如果及时采取必要的自救措施,就能阻止损失扩大,为等待专业救援争取时间。

20175WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的GlobelmposterGandCrabCrysis等勒索病毒,攻击者更是将攻击的矛头对准企业服务器,并形成产业化;而且勒索病毒的质量和数量的不断攀升,已经成为政企机构面临的最大的网络威胁之一。

为帮助更多的政企机构,正确处置突发的勒索病毒攻击,360安服团队结合1000余次客户现场救援的实践经验,整理了此份《勒索病毒应急响应自救手册》,希望能对广大政企客户有所帮助。

 

 

目 录

 

 

第一章  如何判断病情

 

一、业务系统无法访问

二、电脑桌面被篡改

三、文件后缀被篡改

第二章  如何进行自救

一、正确处置方法

二、错误处置方法

第三章  如何恢复系统

一、历史备份还原

二、解密工具恢复

三、专业人员代付

四、重装系统

第四章  如何加强防护

一、终端用户安全建议

二、政企用户安全建议

360天擎敲诈先赔服务

360安服团队

360安全监测与响应中心

 

第一章  如何判断病情

如何判断服务器中了勒索病毒呢?勒索病毒区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的收益极高,所以大家才称之为“勒索病毒”。

勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。

一、业务系统无法访问

2018年以来,勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营;甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因,一旦遭到勒索攻击的直接后果就是生产线停产。

比如:20182月,某三甲医院遭遇勒索病毒,全院所有的医疗系统均无法正常使用,正常就医秩序受到严重影响;同年8月,台积电在台湾北、中、南三处重要生产基地,均因勒索病毒入侵导致生产停摆。

但是,当业务系统出现无法访问、生产线停产等现象时,并不能100%确定是服务器感染了勒索病毒,也有可能是遭到DDoS攻击或是中了其他病毒等原因所致,所以,还需要结合以下特征来判断。

二、电脑桌面被篡改

服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,通常提示信息英文较多,中文提示信息较少。

下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。

现金网

需要注意的是:使用解密工具之前,务必要备份加密的文件,防止解密不成功导致无法恢复数据。

三、专业人员代付

勒索病毒的赎金一般为比特币或其他数字货币,数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在:

1)   统计显示,95%以上的勒索病毒攻击者来自境外,由于语言不通,容易在沟通中产生误解,影响文件的解密。

2)   数字货币交付需要在特定的交易平台下进行,不熟悉数字货币交易时,容易人才两空。

所以,即使支付赎金可以解密,也不建议自行支付赎金。请联系专业的安全公司或数据恢复公司进行处理,以保证数据能成功恢复。

四、重装系统

当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。

第四章          如何加强防护

一、终端用户安全建议

对于普通终端用户,我们给出以下建议,以帮助用户免遭勒索病毒的攻击:

  养成良好的安全习惯

1)电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。

2)使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和IEFlash等常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。

3)密码一定要使用强口令,并且不同账号使用不同密码。

4)重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。

减少危险的上网操作

5)不要浏览来路不明的色情、赌博等不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。

6)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。

7)不要轻易打开后缀名为jsvbswsfbat等脚本文件和exescr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,应先扫毒后打开。

8)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。

9)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。

采取及时的补救措施

10)安装“360安全卫士”并开启“反勒索服务”,一旦电脑被勒索病毒感染,可以通过360反勒索服务申请赎金赔付,以尽可能的减小自身经济损失。

二、政企用户安全建议

1)安装天擎等终端安全软件,及时给办公终端打补丁修复漏洞,包括操作系统以及第三方应用的补丁。

2)针对政企用户的业务服务器,除了安装杀毒软件还需要部署安全加固软件,阻断黑客攻击。

3)企业用户应采用足够复杂的登录密码登录办公系统或服务器,并定期更换密码,严格避免多台服务器共用同一个密码。

4)对重要数据和核心文件及时进行备份,现金网:并且备份系统与原系统隔离,分别保存。

5)安装天眼等安全设备,增加全流量威胁检测手段,实时监测威胁、事件。

6)如果没有使用的必要,应尽量关闭不必要的常见网络端口,比如:4453389等。

7)提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,如有远程家中办公电脑也需要定期进行病毒木马查杀。

8)提升新兴威胁对抗能力

通过对抗式演习,从安全的技术、管理和运营等多个维度出发,对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验,持续提升企业对抗新兴威胁的能力。

 

?

Produced By 大汉网络 大汉版通发布系统