置顶

勒索软件攻击怎么办_勒索软件的攻击目标通常包括哪些

作者:hacker | 分类:渗透破解 | 浏览:197 | 日期:2023年03月20日

已经中了勒索病毒怎么办

已经中了勒索病毒的话,需要马上隔离被感染的服务器主机、确定被感染的范围、进行系统修复等。

1、马上隔离被感染的服务器主机

计算机中毒重要是跟外部的网络保持连接接触,中了病毒的网络设备,要及时切断网络连接。拔掉中毒主机网线,断开主机与网络的连接,同时还要注意关闭主机的无线网络、蓝牙连接等,并拔掉连接在主机上的所有外部存储设备。

2、确定被感染的范围

切断服务器主机与外界的连接后,接下来需要查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器,以及主机上云存储中的文件等,是否已经全部被加密了,检查确定哪些文件还没有被加密处理。

3、进行系统修复

在确定了病毒样式,提取主机日志,进行溯源分析之后,找到相应的漏洞,则要进行系统的修复工作。彻底清除病毒,安装高强度防火墙,防病毒软件等。关闭不必要的端口、网络共享、打上相应的漏洞补丁,同时也需要及时修改主机密码,防止被二次感染勒索病毒。

勒索病毒是什么?

勒索软件,又称勒索病毒,是一种特殊的恶意软件,又被人归类为“阻断访问式攻击”(denial-of-access attack),其与其他病毒最大的不同在于手法以及中毒方式。主要以邮件、程序木马、网页挂马的形式进行传播,该病毒性质恶劣、危害极大。

一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。据“火绒威胁情报系统”监测和和评估,从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击。

服务器被勒索病毒攻击怎么办

服务器被勒索病毒攻击的解决方法如下:

如果是老款的勒索病毒,网上有可能可以找到加解密工具。这里注意一点,如果找到了解密工具,最好是先备份,再解密。因为如果版本不一致,会解密失败,但同时文件底层扇区会进行相应的解密修改,导致后期就算找到一致的解密工具或解密秘钥,都是没办法再成功解密的,因为加密信息已经不一致了。

建议是提前就做好平台防护,防患于未然,未发生的事情不等于以后不会发生。

勒索病毒怎么解决

勒索病毒的解决如下:

1、及时止损(拔网线)。

能拔网线的直接拔网线,物理隔离,防止出现「机传机」的现象。如果是云环境,没法拔网线,赶紧修改安全组策略,总之,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通讯,防止内网感染。

改密码!如果被勒索的机器和未被勒索的机器存在相同的登陆口令(相同的密码),及时修改未感染机器的登陆口令。

保护好案发现场,不要重启!不要破坏被勒索的机器环境,保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致系统完全崩溃,严重影响后续动作。

关端口及时关闭未感染机器远程桌面/共享端口(如:22/135/139/445/3389/3306/1521)对未感染的重要机器进行隔离备份,备份后及时物理隔离开备份数据,如:硬盘或者 u 盘备份后需要及时拔掉。

不要联系黑客,在不了解勒索病毒的情况下,建议不要直接联系黑客(容易钱财两空)。

2、确定影响范围。

止损之后,逐一排查感染规模及环境(是 OA 还是服务器/一共中了多少台),可通过网络区域划分,防火墙设备、流量检测设备辅助快速确认影响范围。

3、病毒提取和网络恢复。

取证,通过对被勒索机器进行取证提取病毒样本,或结合终端防病毒软件,对影响区域内或可疑区域进行逐台确认,是否有遗留的病毒样本,确保所有机器上的病毒样本均已查杀;恢复网络制定网络恢复计划,优先对非重要区域的终端进行网络恢复,恢复过程中需通过流量检测设备进行实时监测,确保恢复后不会出现横移情况;直至全部网络恢复。

4、数据恢复和解密。

目前绝大多数勒索病毒均无法解密(在没有拿到解密密钥的情况下),通常有如下几种选择:如有数据备份,则可以直接通过数据备份进行恢复;放弃数据恢复;联系勒索者缴纳赎金,但是不建议自己联系,最好是专业的服务商协助,他们比较知道怎么跟勒索者谈判。

5、溯源分析。

溯源分析的目的,并不是是查到勒索者是谁,而是找到勒索入侵的源头(从哪台机器上进来的),即 0 号主机,然后进行相应的安全加固,以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征,可以判断勒索病毒家族;

对于内部攻击路径溯源,需依托于网络、安全设备日志以及感染/关联终端日志记录,包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注:因为很多勒索病毒存在反侦察手段,终端环境可能会被清理,如果没有流量监控等相关设备,溯源难度会非常大。

6、安全加固。

修复内网中高危漏洞,确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口,如:445、3389等。对重要系统进行异地物理备份,确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域,各个区域之间使用严格的ACL,避免攻击者大范围横向移动扩散。

发表评论

访客 游客 2023-03-20 · 回复该评论
病毒。勒索病毒是什么?勒索软件,又称勒索病毒,是一种特殊的恶意软件,又被人归类为“阻断访问式攻击”(denial-of-access attack),其与其他病毒最大的不同在于手法以及中毒方式。主要以

访客 游客 2023-03-20 · 回复该评论
。这里注意一点,如果找到了解密工具,最好是先备份,再解密。因为如果版本不一致,会解密失败,但同时文件底层扇区会进行相应的解密修改,导致后期就算找到一致的解密工具或解密秘钥,都是没办法再成功解密的,因为加

访客 游客 2023-03-20 · 回复该评论
围。止损之后,逐一排查感染规模及环境(是 OA 还是服务器/一共中了多少台),可通过网络区域划分,防火墙设备、流量检测设备辅助快速确认影响范围。3、病毒提取和网络恢复。取证,通过对被

访客 游客 2023-03-20 · 回复该评论
不要直接联系黑客(容易钱财两空)。2、确定影响范围。止损之后,逐一排查感染规模及环境(是 OA 还是服务器/一共中了多少台),可通过网络区域划分,防火墙设备、流量检测设备辅助快速确认影响范围。3、病毒提取和网络恢复。取证,通过对被勒索机器进行取证提取

取消
微信二维码
支付宝二维码