wallet比特幣病毒加密數據后的應急處理方案
責編:mhshi |2017-05-13 05:05:335月12日,一場網絡病毒風暴迅速席卷全球,包括英國、意大利、俄羅斯在內的近百個國家遭遇勒索病毒的攻擊,損失慘重。
經過初步調查,此類勒索病毒傳播擴散利用了基于445端口的SMB漏洞,大量重要信息被加密,只有支付高額的比特幣贖金才能解密恢復文件,損失嚴重。
此次遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的EquationGroup(方程式組織)使用黑客工具包有關。
其中的ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機器,實現遠程命令執行。微軟在今年3月份發布的MS17-010補丁,修復了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多種攻擊代碼已經在互聯網上廣泛流傳,除了捆綁勒索病毒,還發現有植入遠程控制木馬等其他多種遠程利用方式。
根據統計,目前國內平均每天有不低于5000臺機器遭到基于ETERNALBLUE的遠程攻擊,并且攻擊規模還在迅速擴大。
此次利用的SMB漏洞影響以下未自動更新的操作系統:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
個人預防措施:
1.未升級操作系統的處理方式(不推薦,僅能臨時緩解):
啟用并打開“Windows防火墻”,進入“高級設置”,在入站規則里禁用“文件和打印機共享”相關規則。
2.升級操作系統的處理方式(推薦):
建議使用自動更新升級到Windows的最新版本。
學校緩解措施:
1.在邊界出口交換路由設備禁止外網對135/137/139/445端口的連接;
2.在網絡核心主干交換路由設備禁止135/137/139/445端口的連接。
建議加固措施:
1.及時升級操作系統到最新版本;
2.勤做重要文件非本地備份;
3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。
【延伸閱讀】勒索病毒、敲詐者病毒、wallet比特幣病毒加密數據后的應急處理方案
發現病毒加密數據之后應該立即做如下幾點:
1:立即斷網。
2:立即檢查病毒加密時間。(觀察文件修改時間)
規則A:立即斷電或關機。若勒索加密病毒運行加密的時間在0-2小時內,根據你的主機文件個數和數據容量多少,一般情況下1小時內病毒會加密完成,若你的文件個數和容量比較大,病毒加密時間會時間更長。
規則B:不要關機,如果你發現加密時間已經超過5小時以上,這是你就是關機也沒有用了,所以建議不要關機,這是病毒進程還在內存,對于破解病毒來說,很多密鑰可能在內存或緩存文件,關機會導致這些重要的數據丟失或改變或覆蓋,不利于后面的數據解密。
3:殺毒軟件
往往中毒的主機殺毒軟件都沒有防守住,所以它殺不掉病毒,目前據我們的統計,殺毒軟件是無法直接解密數據的,所以一般情況下無需運行殺毒軟件(此時殺毒軟件進程多數被終止了),也無需安裝新的殺毒軟件,因為這些操作都會刪除部分感染文件,對于重要被感染的數據萬一被殺毒軟件清除,就不利于數據恢復。
4:尋找專業機構。
數據被病毒加密勒索,十萬火急,特別是wallet病毒,往往加密對象是服務器主機,嚴重影響企業日常運行,但是我們建議是,慌亂之中不要急。堅持專業途徑解決問題。
規則A:勒索病毒惡性程度很高,采用高級的加密算法,非展業人士自己不要嘗試,以免感染別的主機擴大故障
規則B:尋求專業的數據恢復公司,尋找專業人員協助解密。
規則C:不要輕易交納贖金,這樣會助長犯罪分子的氣焰,另外黑客犯罪分子一般在國外,支付比特幣贖金后如何保障付款安全,風險極大,我們已經碰到過用戶付錢后,仍然無法解密數據案例
文章來源:網絡