中了勒索病毒怎么办---(教程贴持续更新) - 知乎
中了勒索病毒怎么办---(教程贴持续更新) - 知乎首发于数据恢复切换模式写文章登录/注册中了勒索病毒怎么办---(教程贴持续更新)DATASOS 1.我为什么要发这篇文章原因一:面对越来越疯狂的勒索病毒,我不能无动于衷;自2016年开始勒索病毒出现到2017年wannacry肆意传播,再到2020年WannaRen通过各大下载资源站传播。勒索病毒越来越疯狂了,给大家看一组数字。原因二:网上没有专业人士写的详细的教程贴;各大搜索引擎任意搜索下,好帖是有,但95%以上都是广告贴和水贴,甚至一些误人子弟,未经深思熟虑写的帖子。病不在他们身上,真敢随便开药,治死不偿命啊!总得有人补上这个空缺,各路大神都很忙,只有我还有时间码字。原因三:不想重复造轮子,方便别人的同时也方便自己每天都会有不少朋友通过各种渠道找到我,咨询关于勒索病毒的事情,对每个朋友我都要重复一遍基本的东西,而且还要表现得不厌其烦。其实内心已经接近崩溃,这重复得工作什么时候是个头。而写完这个帖子就可以节省很多时间,想想就觉得刺激。 2. 中勒索病毒后的正确操作姿势中毒后正确的操作步骤整体概括如上图。我们接下来详细解说每一步2.1 数据不重要 若属于这种情况那么恭喜你侥幸躲过一劫,但别得意的太早,因为如果你对安全时间不加以重视,那么迟早有一天你的重要数据会被加密,这绝非危言耸听。 2019年我亲自处理过一个典型的案子。某集团企业邮件系统被黑客攻破,但仅仅造成一台PC机中毒,IT部门抱着侥幸心理和大事化小的态度格式化重装系统并集中修改了邮箱密码,并未做其他任何安全防护工作。5个月后,整个集团20多台服务器被全部攻破数据加密。 如下图步骤1:找准中毒原因,修复薄弱环节,避免二次中毒。我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神,那就从以下几个思路入手。1.从各类网络设备的日志中查找异常(防火墙日志);2.从服务器操作系统安全日志查找异常;(windows安全日志,下图中日志被黑客清空了)3.从客户端操作系统查找异常;(客户端异常登录日志)4:利用网络上免费的病毒溯源工具查找异常。时间允许的花我后续会专门写一篇详细溯源教程配合工具使用方法,(--勒索病毒溯源分析教程贴预留位置,如有安全大牛赞助此贴或者有现成的帖子请告知-)步骤2:格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑,建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!安全防护绝对不是买一套防火墙或者装几套杀毒软件就能解决问题的。任意一个新的勒索病毒的变种就可以躲开几乎所有的杀毒软件和防火墙。这也是为什么各大厂商的杀毒软件和防火墙都在持续不断的更新自己的病毒库的原因,因为只有安全人员捕获了病毒特征才有机会识别并杀掉病毒。这意味着肯定得有一部分人要先中毒牺牲掉自己,才能引起各大杀软和防火墙公司的注意。2.2 数据重要但不紧急(这里的不紧急是指可以等上1-3年)步骤1. 通过PE模式或者安全模式进入服务器,把重要的数据备份一遍(最好是全盘备份至一个空的移动硬盘)为什么一定要在安全模式或者PE模式下,因为部分勒索病毒加密数据后会在注册表中修改开机自启动,如果你不在安全模式下或者PE模式下,那么很有可能你插上移动硬盘后你的移动硬盘里面的数据也会被加密。为什么最好是全盘备份,因为有些黑客的解密程序要用到你本地机器上勒索信的公钥。如果这些文件你备份的时候没有备份完整,即使后续出来免费的解密程序你也无法解密。步骤2. 和 步骤3 同上面的数据不重要2.3 数据重要且紧急步骤1:先断网而不是先关机。 我们从大量勒索病毒案例中分析得出,勒索病毒的黑客攻击的时间集中在晚上或者非工作日。因为晚上和非工作日不容易被发现,有充足的时间进行加密。当发现ERP服务器中毒或者金蝶用友财务服务器中勒索病毒之后,应该把中毒服务器的网线断开,如果是虚拟机可以把网卡禁用,防止横向扩展传播。不要着急关机的原因有两个 原因1:中毒服务器不关机,就有可能从内存DUMP中找到加密的私钥(我们成功用此方法找到过过密钥)这种方法找到私钥的可能性不大,但至少是一种可能。原因2:如果服务器的数据量非常大,黑客加密程序正在加密过程中突然断电,那么会导致这个文件加密不完整,彻底损坏掉。即使黑客也无法解密此类文件。这个道理很容易理解,就好比你正在编辑一个EXCEL,如果没有保存直接断电,很可能这个EXCEL再打开就会乱码。财务工作人员应该都遇到过这个问题。因为我修复过很多这种原因损坏的EXCEL。步骤2:先备份中毒后的数据而不是先杀毒企业发现服务器中毒之后往往是先装各种杀毒软件杀毒,错!!!错!!!错!!!如果发现中毒后第一时间就进行杀毒,反倒会破坏服务器中毒后的最原始状态,为后面的数据恢复和解密造成很多不便。在杀毒之前应该先做备份,如果中毒机器是虚拟机,那么就做一个克隆。如果中毒机器是物理机就先用一个空的移动硬盘进入安全模式或者PE模式将中毒机器中重要的数据先备份下。步骤3: 确定勒索病毒家族并尝试免费解密工具确定中毒的是那种类型的勒索病毒才能找相应的解密工具,如何确定自己中的是那种勒索病毒有两个比较快捷的方法,可以通过以下网站上传文件样本进行查询。网站打开之后的网站如下图,按照我标记出来的上传东西就可以上面网站对于新的勒索病毒可能无法判断,您可以把文件打个压缩包发送给到我们的邮箱hddfixer@126.com 我们可以免费协助你做这个分析。最全免费勒索病毒解密工具可以在以下几个网站找到,1:no moreransom 是一个国际的反勒索联盟组织,里面收集了很多免费的解密工具。例如很出名的GandCrab 5.2的解密程序就在这里可以下到。2: Emsisoft 是一家新西兰的防止恶意软件的公司,他们也有自己研发的免费解密工具,但大多都是针对较早期病毒的。3:卡巴斯基勒索病毒解密工具下载地址如果尝试自己的文件是否能被免费解密程序完整解密,一定要把一小部分文件拷贝到一台无关紧要的电脑上做测试。确定可以解密之后再大批量解密,且不可在原始服务器上进行解密测试,几乎所有的解密程序都是需要对文件进行写入操作的,一旦操作错误可能会导致文件彻底损坏。步骤4:寻求专业第三方数据恢复公司技术支持修复数据不知道是哪位专家给普及的常识“只要是被黑客加密的数据无人能解,除了黑客自己”实际上如果想直接把非对称加密的数据暴力破解掉,以现在的计算能力,几乎是很难实现。关于非对称加密这里有详细的解说,你看完也就知道为什么专家们那么下结论了黑客用了这种方式加密,我们为什么非要逼着自己逆向解密出来才算解密????难道只有这样才能拿一百分?????才显得牛XXX???我们要的是数据,只要能把数据拿回来,只要是合法的方法都应该被采纳。我就是用下面这些方法来解密勒索病毒的。为什么勒索病毒可以被除黑客外的第三方解密?原因如下图这是一个泛微OA用的SQL数据库, 被5ss5c勒索病毒加密了。加密仅仅只是数据库中的一部分数据而已,并非整个数据库都会被加密,因为黑客在加密的过程中必须平衡加密的时间和加密的质量。如果全字节加密必然耗费很长时间,那么根本来不及加密大量数据就会被客户发现,如果想快速加密必然无法全字节加密。这就给了我们可以修复的方法。经过提表重建数据库后的数据如下图是不是通过曲线救国的方式也实现了解密数据的目的?! 但 但 但是以上方法主要针对数据库。如果不是数据库文件,并且文件大约100M 那么也可以通过这种方式修复。但手工修起来很累也很贵。除了数据库几乎很少有文件具备这么大的价值。1:如果被勒索加密的是数据库类型文件。 例如泛微OA,通达软件,金蝶,用友,管家婆,医院HIS系统等一般需要恢复的数据都为数据库类型文件。例如:SQL 数据库 ,ORACLE数据库等等。都可以通过我上面说的修库的方式进行勒索病毒解密。修复的最基本原理是通过数据库提表并重建数据库。我通过这种方式修复过上千个数据库。最大的中毒数据库单文件640G。而且数据解密后ERP系统直接可用。2:如果勒索解密的是word excel等办公文档类型的文件并且数据文件小于100M ,那么通过上面手工修复的方式是行不通的,但不代表离开黑客就没有任何解密的可能。 黑客的加密程序也是程序,连微软这么大的软件都会有这么多漏洞,勒索病毒自然也会漏洞。我们完全可以利用黑客的漏洞把这些数据解密。当然这个不是都能行的通的。具体方法就不在这里详细说了,以免收到死亡威胁。步骤5:谨慎联系黑客。如果以上方法都成功修复数据,数据又确实很重要,那么不妨联系下黑客。黑客加密完数据之后都会在电脑上留勒索信,通常你发现服务器不能用之后,第一个出现在电脑屏幕上的就是勒索信。勒索信形式各式各样,但一般都以 TXT 或者 HTML或者是EXE文件格式存在。在每一个被加密的文件夹目录里面都会有一封勒索信。勒索信如下图可以根据黑客留的勒索信联系黑客,但请不要傻乎乎直接发邮件过去,并非所有的黑客都遵守信用,并非拿到解密程序就可以顺利解密。黑客只接受比特币付款,虚拟货币是不记名的,你根本不知道钱付给了谁。而且无法追回比特币。在我们以往接触的案例中,有客户付款后没有解密的,也有付款后被二次索要费用的,也有付款后成功解密的。在发邮件之前你最好做好充足的功课。有一些绝妙的操作方法我们无法公布在互联网中,因为不止你会看到我们的帖子,黑客也会看到。如果需要协助可以私信联系我们或者通过邮件联系我们。步骤6:找准中毒原因,修复薄弱环节,避免二次中毒。我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神,那就从以下几个思路入手。1.从各类网络设备的日志中查找异常(防火墙日志);2.从服务器操作系统安全日志查找异常;(windows安全日志,下图中日志被黑客清空了)3.从客户端操作系统查找异常;(客户端异常登录日志)4:利用网络上免费的病毒溯源工具查找异常。时间允许的花我后续会专门写一篇详细溯源教程配合工具使用方法,步骤7:格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑,建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!安全防护绝对不是买一套防火墙或者装几套杀毒软件就能解决问题的。任意一个新的勒索病毒的变种就可以躲开几乎所有的杀毒软件和防火墙。这也是为什么各大厂商的杀毒软件和防火墙都在持续不断的更新自己的病毒库的原因,因为只有安全人员捕获了病毒特征才有机会识别并杀掉病毒。这意味着肯定得有一部分人要先中毒牺牲掉自己,才能引起各大杀软和防火墙公司的注意。发布于 2020-04-09 21:12计算机病毒勒索病毒Wana Decrypt0r 2.0(计算机病毒)赞同 22045 条评论分享喜欢收藏申请转载文章被以下专栏收录数据恢复分享数据丢失恢复技巧数据恢复大师【嗨格式】专注数据恢复领域、打造行
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎切换模式写文章登录/注册勒索病毒真的无解?手把手教你对付勒索病毒太平洋科技软件频道最近几年一种以敲诈用户钱财为目的病毒流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,并且显示勒索信息,让受害者交付赎金才能解密找回文件,这对于电脑中存储有重要资料的用户来说,简直就是噩梦。那么勒索病毒危害如何?咱就来实测一下看看它的恐怖为例!如何防范此类病毒,咱也来探讨一下!如何解密被这类病毒加密的文件,咱也来唠叨唠叨!图1 勒索病毒对用户资料文件是个灾难(图片来源Kaspersky)什么是勒索病毒勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密。采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此而交付赎金。而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密,用户资料文件因此被锁,损失惨重。而采用虚假加密的勒索病毒只是简单地将用户的文件进行了隐藏甚至只是改了后缀名,稍微懂电脑技术的都可以把文件重新找回来。勒索病毒实测 恐怖的全盘文件加密为了让大家更好的了解勒索病毒,让我们先来用虚拟机测试一下勒索病毒,看看它的恐怖威力。为了方便测试,本次测试Windows环境采用了Windows 7系统,没有安装任何的杀毒软件。笔者先在虚拟机硬盘分区的PConline文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。图2 测试文件列表接下来,运行勒索病毒,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。这个时候再进入PConline件夹中查看测试文件,PConline文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为WNCRY。图4 常用文件格式全军覆没然后还有个勒索说明弹窗,这个弹窗还“贴心”的准备了多国语言。图5 勒索说明弹窗造成的危害:由于勒索病毒大多都都是全盘扫描并加密用户电脑中的常见文件格式文件。诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作甚至导致工作停摆。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。由于勒索病毒大多数采用了比特币支付方式,并且有些勒索病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些勒索病毒所加密的文件在用户支付赎金后依然无法进行解密操作。需要提醒受害者的是,如果你的重要资料文件被勒索病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。勒索病毒能自行解密么 安全厂商联合推出解密网站上边说了,多数勒索病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(大多数敲诈者木马,目前都采用了比较规范的非对称结合对称的加密手段,这直接导致了在没有拿到黑客手中的私钥的前提下,解密文件几乎不可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。提供100+勒索病毒解密工具正由于勒索病毒给受害者带来了严重的损失,所以勒索病毒也成为了各大计算机安全厂商重点关注对象。这不,为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了专门针对勒索病毒的网站-——No more ransom(拒绝勒索软件)。No more ransom:https://www.nomoreransom.org/zh/index.html“拒绝勒索软件”网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室 和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。No more ransom收录了超过100种已知的勒索病毒,并且针对这些勒索病毒做了专门的解密工具。如果不幸中招的用户,可以尝试使用该网站里的“解码刑警”工具来识别所中的是何种勒索病毒,并且查询是否有解密工具。只需要上传一个小于1M的被恶意加密的文件到解码刑警页面,稍等片刻该网站就会给用户提供究竟是中了何种病毒以及病毒信息,并且给出了解决方案。(如果你已经知道是何种勒索病毒,可以直接在“解密工具”页面查找解密工具)可是也别抱太大的希望,就像小编测试的这种勒索病毒,虽然已经老旧,但是在No more ransom还没找到解密方案。图6 上传文件到解码刑警图7 获得结果图8 解密工具页面在的解密工具页面提供了100+勒索病毒的加密工具,这里有着多家安全软件厂商提供的针对性勒索病毒解密工具,有解密工具的直接下载地址与使用指南,切记先看指南再用工具。图9 有下载地址与解密指南360在线查询与解密网站国内知名安全软件360页推出了一个专门的勒索病毒查询与在线解密网站。360勒索病毒解密:https://lesuobingdu.360.cn/在这里,用户同样可以通过上传被加密文件的方式来查询是中了哪种勒索病毒,并可以尝试解密。图10 上传被加密文件获得结果勒索病毒可以防范么 做足措施防范损失防范措施一:最重要的是定期异地备份硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染,所以强调“异地”备份。对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作,不过千万不要忘记密码。图11 FileGee同步备份软件而且还有许多的网盘客户端软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。图12 百度网盘的文件夹备份功能防范措施二 安装一款靠谱的杀毒软件别相信什么裸奔电脑的情况,杀毒软件无用论,至少,目前勒索病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。图13 靠谱的杀毒软件还是有作用的只是,勒索病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。还有需要注意的是,如果系统真的中了勒索者病毒,并且重要文档被加密的话,千方不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。重要的是,先恢复被感染的文档再进行病毒查杀操作。总结近几年病毒木马似乎变得少了,于是现在的网友们就没有了以前那必装杀毒软件,甚至还要装上几个杀毒软件那种警惕性了。其实各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中潜伏着肆意破坏着。作为普通用户,咱还需多加防范,对于重要资料文件,咱的备份操作少不得,安全第一!发布于 2022-08-20 12:30勒索病毒赞同 31 条评论分享喜欢收藏申请
中了勒索病毒怎么重装系统|中勒索病毒重装系统教程-系统城
中了勒索病毒怎么重装系统|中勒索病毒重装系统教程-系统城
中了勒索病毒怎么重装系统|中勒索病毒重装系统教程
系统城首页
|
最新更新
|
软件分类
搜索
xp/win7双系统安装教程
联想win8改win7
U盘启动热键大全
win7升级win10工具下载
首页
软件下载
安卓下载
Win11系统
Win7系统
Win10系统
XP系统
Win8系统
教程
专题合集
系统安装教程
Windows7系统教程
Windows10系统教程
XP系统教程
Windows11系统教程
电脑软件教程
Win8系统教程
系统城 >
教程
>系统安装教程
中了勒索病毒怎么重装系统|中勒索病毒重装系统教程
时间:2017-05-17 13:58
作者:
来源:系统城
1. 扫描二维码随时看资讯
2. 请使用手机浏览器访问:
https://m.xitongcheng.com/jiaocheng/xtazjc_article_33728.html
手机查看
评论
反馈
勒索病毒正在全球大肆攻击Windows设备,被感染的电脑文件都被加密,如果要解密需要支付赎金,不过支付赎金并不能解密文件,而且现在各大安全部门并没有有效的铲除病毒的措施,现在最彻底的方法是重装系统,那么中了勒索病毒后怎么重装系统呢?这个方法虽然能直接删除病毒,但是会导致数据丢失,大家需谨慎使用,下面系统城小编跟大家介绍中勒索病毒重装系统教程。
相关教程:
如何预防Windows勒索病毒?防止感染ONION、WNCRY勒索病毒补丁下载
Win7快速关闭135,137,138,139,445端口预防比特币勒索病毒的方法
电脑感染勒索病毒后通过DiskGenius恢复数据的方法
相关事项:
1、由于当前未能有效清除WannaCry比特币勒索病毒,很多人选择重装系统来应对,重装需要是整个硬盘格盘重装,才能彻底删除病毒,这样会导致数据丢失,使用恢复软件仅能恢复一部分的文件
2、如果电脑没有重要数据,直接重装,如果电脑有重要数据,等安全厂商的解决措施
3、重装系统选择win7之后的系统,而且要及时更新补丁,避免再次遭受攻击
4、重装系统需使用U盘或光盘引导重装,先对硬盘格式化,再执行分区安装系统
安装须知:
1、为防止U盘被感染,制作U盘启动盘需要借助另一台确保安全的电脑
2、如果内存2G及以下选择32位x86系统,内存4G及以上,则选择64位x64系统
3、U盘装系统有两种方法,本文介绍大白菜U盘安装,另一种是软碟通制作启动盘安装
相关安装方法:
软碟通U盘安装ghost系统方法
怎么用u盘安装非ghost系统
光盘重装电脑系统步骤是什么
一、重装准备工作
1、系统下载:电脑公司DNGS ghost win7 64位稳定旗舰版V2017.05
2、4G及以上U盘:如何制作大白菜u盘启动盘
二、U盘启动设置:怎么设置开机从U盘启动
三、中勒索病毒重装系统步骤如下 U盘方法
1、根据上面的教程制作好大白菜U盘启动盘,然后将下载的操作系统iso文件直接复制到U盘的GHO目录下;
2、在中了勒索病毒的电脑上插入U盘,重启后不停按F12、F11、Esc等快捷键打开启动菜单,选择U盘选项回车,比如General UDisk 5.00,不支持这些启动键的电脑查看第二点设置U盘启动方法;
3、从U盘启动进入到这个主菜单,通过方向键选择【02】选项回车,也可以直接按数字键2,启动pe系统,无法进入则选择【03】旧版PE系统;
4、进去pe系统之后,双击打开【DG分区工具】,右键点击硬盘,选择【快速分区】;
5、设置分区数目和分区的大小,一般C盘建议35G以上,如果是固态硬盘,勾选“对齐分区”即可4k对齐,点击确定,执行硬盘格式化以及分区过程;
6、硬盘分区之后,打开【大白菜一键装机】,映像路径选择系统iso镜像,此时会自动提取gho文件,点击下拉框,选择gho文件;
7、接着点击“还原分区”,选择系统安装位置,一般是C盘,如果不是显示C盘,可以根据“卷标”、磁盘大小选择,点击确定;
8、此时弹出提示框,勾选“完成后重启”和“引导修复”,点击是开始执行系统还原;
9、转到这个界面,进行系统还原到C盘的操作,这个过程需要5分钟左右,大家耐心等待即可;
10、操作完成后电脑会自动重启,此时拔出U盘,不拔除也可以,之后会重新启动进入这个界面,继续进行安装系统和系统配置过程;
11、安装过程需要5-10分钟,在重启进入全新系统桌面之后,系统就重装好了,最后要记得装杀毒软件以及更新最新的补丁。
以上就是中了勒索病毒重装系统教程,大家可以使用U盘给电脑重装系统彻底删除病毒,希望对大家有帮助。
< 上一篇
win7系统窗口外观改不了怎么解决|win7窗口外观改不了的修复方法
下一篇 >
win10网络设置中无法找到以太网的解决方法
相关教程
勒索病毒来自哪里|调查显示勒索病毒或来自朝鲜
勒索病毒攻击原理是什么|比特币勒索病毒原理介绍
教你辨别win7/win8/win10系统是否中勒索病毒的方法
什么是Petya勒索病毒
勒索病毒(wannacry/wcry)专攻暴露445端口电脑 破解需要重装系统
开机怎么防止被勒索病毒感染?360预防勒索病毒开机指南
如何预防Windows勒索病毒?防止感染ONION、WNCRY勒索病毒补丁下载
Wannacrypt勒索病毒加密原理分析|蠕虫勒索病毒文件可以恢复
win10勒索病毒补丁号是多少?win10防勒索病毒补丁下载地址
电脑中病毒怎么重装系统|电脑中病毒重装系统方法
win10会中勒索病毒吗?windows10会不会被勒索病毒攻击
勒索病毒有什么危害?Win7/Win10电脑中了勒索病毒的四大解决方法
win7系统如何处理勒索病毒|win7系统有效解决勒索病毒的方法
Petya勒索病毒怎么防御|如何避免被Petya勒索病毒攻击
网友评论
共0条
提交评论
评论就这些咯,让大家也知道你的独特见解
以上留言仅代表用户个人观点,不代表系统城立场
系统安装教程排行榜
win10产品密钥 win10专业版激活码key Windows10序列号激活密匙2021分享180.5万次
win10家庭中文版升级专业版方法(无损升级)63.9万次
win7激活密钥 w7旗舰版密匙神key windows7序列号大全分享43.9万次
VMware提示此主机支持Intel VT-x,但Intel VT-x处于禁用状态怎么解决43.5万次
VMware虚拟机安装ghost win7系统方法41.9万次
win7和win10哪个好用|win7与win10性能对比实测37.3万次
苹果电脑Mac怎么恢复出厂系统35.6万次
BIOS怎么开启UEFI模式|电脑设置UEFI启动的方法28.5万次
怎么制作u盘PE启动盘_U盘制作PE系统启动盘教程28.4万次
xp激活码 windows xp产品密钥 xp sp3专业版正版序列号27.5万次
系统合集
深度win11系统下载 深度技术win11系统合集推荐
深度win11系统合集
了解详情
更新:2022-12-07
联想笔记本win11系统合集
联想笔记本win11系统合集
了解详情
更新:2022-12-08
最近更新
系统
软件
安卓
文章
win10专业版原版iso
12-14
win10精简稳定版
12-14
Windows10 22H2 19045.3758X64官方正式版v2023
12-12
Windows10 N21U 21H2
12-11
雨林木风Windows10 64位官方正式版v2023
12-10
windows10系统安装包
12-09
Windows10 N19U 1909
12-09
大地系统 ghost win7 64位 最新旗舰版系统 v2023.8
12-04
雨林木风 ghost win7 32位 极速装机版系统 v2023.08
12-04
雨林木风 ghost win10 32位 超级原版系统 v2023.08
12-04
东方影视大全 1.0.0.46
12-14
录屏君32位v6.2.8.0 6.2.8.0
12-12
腾讯会议 3.21.10.456
12-11
Frescobaldi(音乐表编辑器) 3.1.3
07-12
Lesspain Kyno Premium(媒体管理系统) 1.8.4.202
07-12
PhotoImpression(图像编辑软件) 5.2
07-11
Xilisoft Video Converter Smart(视频转换工具) 1.28
07-11
AKVIS AliveColors(照片编辑器) 1.5.2042.17997
07-11
Boilsoft Spotify Converter(Spotify音乐转格式器) 2.7.3
07-11
CyberLink ColorDirector(视频调色工具) 9.0.2316.0
07-11
爱奇短剧 1.0
12-14
勇者斗恶龙:达伊的大冒险 0.9.231
12-14
以闪亮之名 1.7.0
12-14
梦幻大陆 0.0.13
12-13
华夏风物 2.20.1
12-12
皮卡堂之梦想起源 1.0.4
12-12
超级魔方 2.6.20
12-11
锦绣江湖 3.1.0
12-11
阳光剧场 1.0.0
12-10
幻灵大冒险 1.0.3
12-10
WPS怎么设置多个页眉页脚 几个步骤教你
12-14
PPT2021怎么设置文件保存格式 操作方法
12-13
CorelDRAW怎么制作暗角效果
12-12
友玩陪玩APP怎么入驻 快加入陪玩大家庭
12-11
WPS软件文字中表格如何排序_这里教给你
12-10
WPS2019如何将字体嵌入文件 详细教程
12-10
wps文档被锁定了怎么解除 操作方法介绍
12-10
逆水寒0氪玩什么职业 逆水寒平民搬砖职业推荐
12-04
618和双十一哪个优惠力度大 双十一便宜还是618便宜
12-04
使命召唤手游在哪里开私人房?怎么开私人房间?方法教程分享!
12-04
本站发布的系统与软件仅为个人学习测试使用,请在下载后24小时内删除,不得用于任何商业用途,否则后果自负,请支持购买微软正版软件!
如侵犯到您的权益,请及时通知我们,我们会及时处理。
Copyright©2011 系统城(www.xitongcheng.com) 版权所有 浙ICP备2023008903号-1 浙公网安备 36112202000171号
中了勒索病毒并且硬盘有重要资料怎么办? - 知乎
中了勒索病毒并且硬盘有重要资料怎么办? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册生活网络安全信息安全硬盘勒索病毒中了勒索病毒并且硬盘有重要资料怎么办?关注者98被浏览220,350关注问题写回答邀请回答好问题添加评论分享27 个回答默认排序康小泡信息安全 程序员 关注更新建议最好不要随意去删除勒索病毒留下的文档或者数据,最近新出一款国产勒索病毒,需要用户生成的datafile目录下的一个叫appcfg.cfg里面的数据,如果一旦删除那么你就无法解密文件了。及时各大厂商出解密工具、也是于事无补、(后续,在这款通过微信 支付的勒索病毒,能在删除了appcfg.cfg或者重装系统后还能解密文件,前提是能找到一对文件--文件被加密前的,和被加密文件。数据大小在500kb-10M。如果有人还没有解密成功,可以私信了解一下)原答案---------------------------------------------------------------------------------1.如果文件特别重要的话,那就只有交赎金了。不建议直接联系黑客,可以去淘宝上搜一下,淘宝上有很多人协助你解密文件(最好先提前发邮件咨询一下黑客收费多少,不要被第三方收几倍的高价,适当的去谈价格)。2.个人觉得很多容易被一些人忽略的问题是查找中毒的原因。为什么会中招。如果不会排查,可以找做反病毒的帮助你去排查原因。360的反勒索服务,你提交过去就会有人帮你排查原因。只有找到原因了,才能知道怎么入防御,才能避免再次中招,就算你机器里面没有什么重要的文件,但是重装系统也是一件痛苦的事情不是吗?3.如果没有那么重要,但是又有意义的文件。建议备份下来。最好是将这个系统备份下来.说说原因吧。之前有遇到勒索病毒是将密钥写在了注册表里面\释放到appdata目录下等,如果你重装了或者没有备份系统。那么就算你将被加密的文件备份下来也是浪费了。还有是根据你计算机的一些硬件来算的密钥,如果你重装了那么也解不开你的文件了。所以建议最好是备份整个系统。4.可以在这个上面查一下,看一下是否又对应的解密工具出来了、The No More Ransom Project,这个网站上面的解密工具由多家公司在进行维护。如图。或者下载360安全卫士→功能大全→解密大师:如果目前能解密了,扫描一下就直接解密文件。查询自己中了什么类型的勒索病毒,可以访问http://lesuobingdu.360.cn进行查询。可以选择输入被加密文件后缀,或者黑客留下的邮件,再或者直接上传被加密文件。5.对于关注一些勒索病毒样本分析的关注者,可以访问这个页面去查看一些样本分析文章:勒索病毒家族 - 勒索病毒-360社区或者关注微信公众号:安全分析与研究(国内国外出的我看他们都会写文章分析,也不区分大众还是小众。不过有部分文章更偏事件性,总结性,而且技术性。)编辑于 2019-10-22 11:47赞同 14640 条评论分享收藏喜欢收起谢幺网络安全话题下的优秀答主 关注有网线就直接拔网线,没网线则断开WiFi,保持冷静,如果此时你周围还有同事或者朋友正在上网,悄咪咪看一下他们的电脑是否也出了问题。许多勒索病毒具有横向传播功能,就像是感冒病毒一样传染给局域网里的其他电脑,早断网一秒,亲人少流一行泪,如果整个办公室都因为你而中招,那么勒索你的就不再只有黑客,还有你的同事和老板。保留犯罪现场如果还想找回被加密的文件,尽量让现场保持原样。不要指望重装系统就能好,有些勒索病毒的解密需要根据你电脑的一些软硬件信息(比如注册表信息)来生成密钥,一旦这些信息被破坏,很可能永远都无法解密,交了钱也没辙。最好也不要重启电脑或关机。这是网络勒索,网管的那套“万能重启大法”在此并不好使,还可能弄巧成拙,因为电脑内存里很可能留有用来解密的线索,专业人士可以拿来破案,一旦关机断电就会被清空。在这方面警察蜀黍办案的流程就值得学习,在第一时间保留线索和作案现场,方便日后回溯线索和破案。保留好现场,下面我们就可以进入自救环节。到这一步,重要文件应该已经变成了加密状态,就像这个亚子。勒索病毒千千万,你得知道自己中了哪一卦。怎么办?2. 收集病毒特征仔细回想一下,在中毒的前一刻,自己是不是上了什么不该上的网站,打开了什么不该打开的文件?看了什么不该看的东西?是不是有 FBI warning 过你?如果你真的什么也没做,那也有可能是跟你同在一个局域网里的同事干的,当然,他有可能并不会承认,你不妨抽出皮带拷问他一下。总之,能直接找到病毒样本是最好。观察被加密的文件的后缀名,不同勒索病毒的后缀不一样,一般通过后缀名就能大致判断种类。比如 GlobeImposter 勒索病毒的常用后缀是:auchentoshan、动物名+4444,而 WannaCry 勒索病毒的后缀名是 wncry。怎么判断呢?上网搜呗,度娘谷歌都行,就像这样:也有些自信心爆棚的病毒会在勒索信自报家门,比如下面这个。总之,观察勒索信里信外,看有没有透露能判断勒索软件的标志。如果以上都没法确定病毒种类,记下勒索信的文件路径、具体内容、信里提及的所有网址、邮箱地址等等,这些都可以留作判断依据,具体怎么用后面会讲。3. 自助解密正所谓求人不如求己,即便你是个电脑小白,也有一定概率直接找到解密工具。全世界的安全公司都在努力对抗勒索病毒,其中很多公司都推出了的勒索病毒免费解密工具聚合网站。比如卡巴斯基的:https://noransom.kaspersky.com/奥地利知名杀软 Emsisoft 的:https://www.emsisoft.com/decrypter/知名安全研究团队 malwareteam 的:https://id-ransomware.malwarehunterteam.com/360的:https://lesuobingdu.360.cn/Avast 的:https://www.avast.com/zh-cn/ransomware-decryption-tools也有一些非商业公司成立的勒索解密网站,比如著名的 Nomoreransom 勒索软件解密工具集,这是由各国警方和几家著名的网络公司联合发布的“公益救助”网站:https://www.nomoreransom.org/zh/decryption-tools.html这些网站的基本流程都差不多:上传病毒样本、被加密的文件、勒索信全文或是信里的邮件地址等信息,它就能自动帮你分辨是哪一款勒索软件。如果是目前已经被攻破的勒索软件,恭喜你,网站会提供对应的解密工具和详细的使用说明。(很多外国网站和说明书都是纯英文的,这里推荐英文不太好的朋友用“彩云小译”,上面那几张截图就是用它翻译的,炒鸡好用,这是幺哥的良心推荐)如果通过这些方法依然没找到解密工具,甚至都没法分辨出勒索软件的种类,下一步就该拨打场外求助热线了。4. 场外求助你可以去一些技术研究或者安全论坛叫银。像“吾爱破解论坛”、“卡饭论坛”之类的,以及各大网络安全公司的官方论坛,比如“卡卡安全论坛”、“火绒论坛”、360社区等等(这里只是说几个例子,还有别的好去处可以在留言区推荐),找到相应版块,招呼网友和管理员。遇到危险大喊救命并不丢人,也不要觉得这是无谓的求助,正所谓“大隐隐于市,高手在民间”,技术大神经常隐藏在群众灌水的队伍里。网上有过不少通过论坛求助成功解密的案例。据幺哥了解,只要你会用小学生文明礼貌用语,很多论坛管理员还是会回应的。火绒论坛的管理员回复瑞星卡卡安全论坛的管理员回复通过场外求助最终解密的例子也不少。比如前阵子吾爱破解论坛的用户在四处求助无门后,顺手去瑞星的“卡卡安全论坛”发了个求助帖,没想到管理员很快就过来帮忙,最终成功解密,省下价值几台iPhone的赎金。(就是上图的那个案例)如果实在没办法,你也可以在网上找到一些安全研究员的私人公众号,或是安全公司的公众号求助。比如我上篇讲勒索的文章里提到的深信服千里目实验室朋友王正,就开了个公众号:安全分析与研究,遇到勒索病毒实在没办法可以去找这位老司机带路。(上面那些自助解密工具链接其实也是他帮忙整理的)万不得已,你还可以求助万能的淘宝。在淘宝上搜索“勒索病毒解密”,你会发现上面有一大票店家。这算是个求助途径,但幺哥并不是很推荐,毕竟是收费的。而且,淘宝上帮人解密的店铺,其实大部分用的也是网上公开的解密工具。从逻辑上来讲,正牌安全公司代表着这颗星球最强的反勒索实力,但凡某款勒索病毒被安全公司攻破,通常会昭告天下:“XXXX公司率先攻破XXXX”,就像这样:然后相应的解密工具就会同步到各大反勒索网站。淘宝店主不是太可能掌握某种特殊的解密技巧。不过,如果你觉得自己上网求助、找工具麻烦,或者担心自己手抖误操作,也不妨出点小钱让他们代劳,前提是价格厚道。同时幺哥也要提醒一句说,最好找信誉较高的店,否则先被勒索再被骗,可能会怀疑人生。5. 找勒索者唠嗑除了求助第三方,你其实也可以直接联系一下勒索者,勒索信里通常有联系方式。编一段声泪俱下的故事,砍砍价,或是告诉对方自己正在想办法准备赎金,但是没有购买虚拟币的经验,需要一些时间学习和开户,试试看能不能延期付款。网友clg808发邮件吐槽赎金太贵万一勒索者心情好,给你个折扣什么或者延期,甚至被你的真诚和人生哲学所打动,改邪归正,也不是没可能,虽然概率有点小。顺道说一个小操作:通常情况,勒索病毒作者为了证明自己有能力解密,会给一次测试解密的机会,比如允许你发给他三个文件,免费帮你解密。如果你被加密的文件里,有一些需要紧急使用的非机密文件(比如刚写完的稿子),不妨直接发给勒索者让他解密。6. 交钱还是死磕勒索者不会留给你太多时间,大部分勒索病毒都会带一个倒计时,比如超过24小时赎金翻倍,超过三天就撕票,永远无法解密。所以其实最重要的是,你必须做好自救失败的打算。如果被勒索的文件真的非常重要,请提前准备好一笔赎金,最后关头也许用得上。虽然交赎金意味着助长勒索之风,但也是无奈之举。前几天《纽约时报》有则新闻,讲美国有225位市长联名支持一项不给黑客支付赎金的决议,表面听起来非常振奋人心,可问题来了,等到黑客真的锁死医院、发电厂、政府,整个城市陷入瘫痪,这些市长真的能顶住不支付赎金?幺哥的个人观点是,支付赎金这件事没有绝对,如果被锁住的文件关系重大,还是得做好两手准,与其中了勒索病毒再死撑着不交赎金然后自己吃亏,倒不如吃一堑长一智,做好防备,争取以后不被勒索。如果你被勒索的文件既不重要也不紧急,倒也不妨下定决心死磕,兴许过一段时间安全公司就会找出解密方法。不过,这个期限可能是一个月,也可能是一年,甚至十年,就跟中彩票似的。研究员王正告诉我,就像 Globelmposter、CrySiS 两款勒索新的变种,已经有一年多了,至今还没有发布相关解密工具。总之,看命。其实最稳妥的方法还是第一时间联系专业的安全公司,不过,我问了几个朋友,他们说安全公司通常只对公司,对个人的话,难说。当然,如果你不缺钱,就不难说了。总结说了这么多,幺哥还是希望大家运气好点,别中勒索。之前看到一则新闻,讲国外有安全公司专门收钱摆平勒索,收费很高,每次都能解开,后来被发现居然是收了客户的钱之后,暗地里去给勒索团伙交赎金拿密钥,自己坐当中间商赚差价。说实话,这也不能全怪安全公司,毕竟反网络勒索最好的方法还是防患于未然,而不是亡羊补牢,掏钱找安全公司,除了摆平当下遇到的事,更大的意义在于防止未来再踩同样的坑。勒索病毒这事儿未来一定会越来越多,一个很重要的原因是肉身太难抓。这个逻辑和电信诈骗难打击一样,犯罪分子肉身藏在国外,存在跨境执法困难的问题。 有时候我就心想,这样下去会不会产生一个奇特的现象:A国的团伙勒索B国的人民,B国的团伙勒索A国的人民,两边罪犯都难抓,但两边的人民都遭罪。我把这种现象称之为“共轭勒索”。在这种情况下,作为普通吃瓜群众,除了自保,也没有什么办法。最后,希望大家平时不乱点文件,不乱看不该看的东西,上正规的网站,养成备份重要文件的习惯,或者干脆用同步云盘,实时同步重要文件。祝各位浅友网上冲浪愉快。---参考文章:熊猫正正.安全分析与研究.《企业中了勒索病毒该怎么办?可以解密吗?》360企业安全服务团队.安全客.《勒索病毒应急响应 自救手册(第二版)》发布于 2019-07-18 18:14赞同 18814 条评论分享收藏喜欢
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎切换模式写文章登录/注册勒索病毒真的无解?手把手教你对付勒索病毒太平洋科技软件频道最近几年一种以敲诈用户钱财为目的病毒流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,并且显示勒索信息,让受害者交付赎金才能解密找回文件,这对于电脑中存储有重要资料的用户来说,简直就是噩梦。那么勒索病毒危害如何?咱就来实测一下看看它的恐怖为例!如何防范此类病毒,咱也来探讨一下!如何解密被这类病毒加密的文件,咱也来唠叨唠叨!图1 勒索病毒对用户资料文件是个灾难(图片来源Kaspersky)什么是勒索病毒勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密。采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此而交付赎金。而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密,用户资料文件因此被锁,损失惨重。而采用虚假加密的勒索病毒只是简单地将用户的文件进行了隐藏甚至只是改了后缀名,稍微懂电脑技术的都可以把文件重新找回来。勒索病毒实测 恐怖的全盘文件加密为了让大家更好的了解勒索病毒,让我们先来用虚拟机测试一下勒索病毒,看看它的恐怖威力。为了方便测试,本次测试Windows环境采用了Windows 7系统,没有安装任何的杀毒软件。笔者先在虚拟机硬盘分区的PConline文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。图2 测试文件列表接下来,运行勒索病毒,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。这个时候再进入PConline件夹中查看测试文件,PConline文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为WNCRY。图4 常用文件格式全军覆没然后还有个勒索说明弹窗,这个弹窗还“贴心”的准备了多国语言。图5 勒索说明弹窗造成的危害:由于勒索病毒大多都都是全盘扫描并加密用户电脑中的常见文件格式文件。诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作甚至导致工作停摆。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。由于勒索病毒大多数采用了比特币支付方式,并且有些勒索病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些勒索病毒所加密的文件在用户支付赎金后依然无法进行解密操作。需要提醒受害者的是,如果你的重要资料文件被勒索病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。勒索病毒能自行解密么 安全厂商联合推出解密网站上边说了,多数勒索病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(大多数敲诈者木马,目前都采用了比较规范的非对称结合对称的加密手段,这直接导致了在没有拿到黑客手中的私钥的前提下,解密文件几乎不可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。提供100+勒索病毒解密工具正由于勒索病毒给受害者带来了严重的损失,所以勒索病毒也成为了各大计算机安全厂商重点关注对象。这不,为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了专门针对勒索病毒的网站-——No more ransom(拒绝勒索软件)。No more ransom:https://www.nomoreransom.org/zh/index.html“拒绝勒索软件”网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室 和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。No more ransom收录了超过100种已知的勒索病毒,并且针对这些勒索病毒做了专门的解密工具。如果不幸中招的用户,可以尝试使用该网站里的“解码刑警”工具来识别所中的是何种勒索病毒,并且查询是否有解密工具。只需要上传一个小于1M的被恶意加密的文件到解码刑警页面,稍等片刻该网站就会给用户提供究竟是中了何种病毒以及病毒信息,并且给出了解决方案。(如果你已经知道是何种勒索病毒,可以直接在“解密工具”页面查找解密工具)可是也别抱太大的希望,就像小编测试的这种勒索病毒,虽然已经老旧,但是在No more ransom还没找到解密方案。图6 上传文件到解码刑警图7 获得结果图8 解密工具页面在的解密工具页面提供了100+勒索病毒的加密工具,这里有着多家安全软件厂商提供的针对性勒索病毒解密工具,有解密工具的直接下载地址与使用指南,切记先看指南再用工具。图9 有下载地址与解密指南360在线查询与解密网站国内知名安全软件360页推出了一个专门的勒索病毒查询与在线解密网站。360勒索病毒解密:https://lesuobingdu.360.cn/在这里,用户同样可以通过上传被加密文件的方式来查询是中了哪种勒索病毒,并可以尝试解密。图10 上传被加密文件获得结果勒索病毒可以防范么 做足措施防范损失防范措施一:最重要的是定期异地备份硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染,所以强调“异地”备份。对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作,不过千万不要忘记密码。图11 FileGee同步备份软件而且还有许多的网盘客户端软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。图12 百度网盘的文件夹备份功能防范措施二 安装一款靠谱的杀毒软件别相信什么裸奔电脑的情况,杀毒软件无用论,至少,目前勒索病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。图13 靠谱的杀毒软件还是有作用的只是,勒索病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。还有需要注意的是,如果系统真的中了勒索者病毒,并且重要文档被加密的话,千方不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。重要的是,先恢复被感染的文档再进行病毒查杀操作。总结近几年病毒木马似乎变得少了,于是现在的网友们就没有了以前那必装杀毒软件,甚至还要装上几个杀毒软件那种警惕性了。其实各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中潜伏着肆意破坏着。作为普通用户,咱还需多加防范,对于重要资料文件,咱的备份操作少不得,安全第一!发布于 2022-08-20 12:30勒索病毒赞同 31 条评论分享喜欢收藏申请
中了勒索病毒并且硬盘有重要资料怎么办? - 知乎
中了勒索病毒并且硬盘有重要资料怎么办? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册生活网络安全信息安全硬盘勒索病毒中了勒索病毒并且硬盘有重要资料怎么办?关注者98被浏览220,350关注问题写回答邀请回答好问题添加评论分享27 个回答默认排序康小泡信息安全 程序员 关注更新建议最好不要随意去删除勒索病毒留下的文档或者数据,最近新出一款国产勒索病毒,需要用户生成的datafile目录下的一个叫appcfg.cfg里面的数据,如果一旦删除那么你就无法解密文件了。及时各大厂商出解密工具、也是于事无补、(后续,在这款通过微信 支付的勒索病毒,能在删除了appcfg.cfg或者重装系统后还能解密文件,前提是能找到一对文件--文件被加密前的,和被加密文件。数据大小在500kb-10M。如果有人还没有解密成功,可以私信了解一下)原答案---------------------------------------------------------------------------------1.如果文件特别重要的话,那就只有交赎金了。不建议直接联系黑客,可以去淘宝上搜一下,淘宝上有很多人协助你解密文件(最好先提前发邮件咨询一下黑客收费多少,不要被第三方收几倍的高价,适当的去谈价格)。2.个人觉得很多容易被一些人忽略的问题是查找中毒的原因。为什么会中招。如果不会排查,可以找做反病毒的帮助你去排查原因。360的反勒索服务,你提交过去就会有人帮你排查原因。只有找到原因了,才能知道怎么入防御,才能避免再次中招,就算你机器里面没有什么重要的文件,但是重装系统也是一件痛苦的事情不是吗?3.如果没有那么重要,但是又有意义的文件。建议备份下来。最好是将这个系统备份下来.说说原因吧。之前有遇到勒索病毒是将密钥写在了注册表里面\释放到appdata目录下等,如果你重装了或者没有备份系统。那么就算你将被加密的文件备份下来也是浪费了。还有是根据你计算机的一些硬件来算的密钥,如果你重装了那么也解不开你的文件了。所以建议最好是备份整个系统。4.可以在这个上面查一下,看一下是否又对应的解密工具出来了、The No More Ransom Project,这个网站上面的解密工具由多家公司在进行维护。如图。或者下载360安全卫士→功能大全→解密大师:如果目前能解密了,扫描一下就直接解密文件。查询自己中了什么类型的勒索病毒,可以访问http://lesuobingdu.360.cn进行查询。可以选择输入被加密文件后缀,或者黑客留下的邮件,再或者直接上传被加密文件。5.对于关注一些勒索病毒样本分析的关注者,可以访问这个页面去查看一些样本分析文章:勒索病毒家族 - 勒索病毒-360社区或者关注微信公众号:安全分析与研究(国内国外出的我看他们都会写文章分析,也不区分大众还是小众。不过有部分文章更偏事件性,总结性,而且技术性。)编辑于 2019-10-22 11:47赞同 14640 条评论分享收藏喜欢收起谢幺网络安全话题下的优秀答主 关注有网线就直接拔网线,没网线则断开WiFi,保持冷静,如果此时你周围还有同事或者朋友正在上网,悄咪咪看一下他们的电脑是否也出了问题。许多勒索病毒具有横向传播功能,就像是感冒病毒一样传染给局域网里的其他电脑,早断网一秒,亲人少流一行泪,如果整个办公室都因为你而中招,那么勒索你的就不再只有黑客,还有你的同事和老板。保留犯罪现场如果还想找回被加密的文件,尽量让现场保持原样。不要指望重装系统就能好,有些勒索病毒的解密需要根据你电脑的一些软硬件信息(比如注册表信息)来生成密钥,一旦这些信息被破坏,很可能永远都无法解密,交了钱也没辙。最好也不要重启电脑或关机。这是网络勒索,网管的那套“万能重启大法”在此并不好使,还可能弄巧成拙,因为电脑内存里很可能留有用来解密的线索,专业人士可以拿来破案,一旦关机断电就会被清空。在这方面警察蜀黍办案的流程就值得学习,在第一时间保留线索和作案现场,方便日后回溯线索和破案。保留好现场,下面我们就可以进入自救环节。到这一步,重要文件应该已经变成了加密状态,就像这个亚子。勒索病毒千千万,你得知道自己中了哪一卦。怎么办?2. 收集病毒特征仔细回想一下,在中毒的前一刻,自己是不是上了什么不该上的网站,打开了什么不该打开的文件?看了什么不该看的东西?是不是有 FBI warning 过你?如果你真的什么也没做,那也有可能是跟你同在一个局域网里的同事干的,当然,他有可能并不会承认,你不妨抽出皮带拷问他一下。总之,能直接找到病毒样本是最好。观察被加密的文件的后缀名,不同勒索病毒的后缀不一样,一般通过后缀名就能大致判断种类。比如 GlobeImposter 勒索病毒的常用后缀是:auchentoshan、动物名+4444,而 WannaCry 勒索病毒的后缀名是 wncry。怎么判断呢?上网搜呗,度娘谷歌都行,就像这样:也有些自信心爆棚的病毒会在勒索信自报家门,比如下面这个。总之,观察勒索信里信外,看有没有透露能判断勒索软件的标志。如果以上都没法确定病毒种类,记下勒索信的文件路径、具体内容、信里提及的所有网址、邮箱地址等等,这些都可以留作判断依据,具体怎么用后面会讲。3. 自助解密正所谓求人不如求己,即便你是个电脑小白,也有一定概率直接找到解密工具。全世界的安全公司都在努力对抗勒索病毒,其中很多公司都推出了的勒索病毒免费解密工具聚合网站。比如卡巴斯基的:https://noransom.kaspersky.com/奥地利知名杀软 Emsisoft 的:https://www.emsisoft.com/decrypter/知名安全研究团队 malwareteam 的:https://id-ransomware.malwarehunterteam.com/360的:https://lesuobingdu.360.cn/Avast 的:https://www.avast.com/zh-cn/ransomware-decryption-tools也有一些非商业公司成立的勒索解密网站,比如著名的 Nomoreransom 勒索软件解密工具集,这是由各国警方和几家著名的网络公司联合发布的“公益救助”网站:https://www.nomoreransom.org/zh/decryption-tools.html这些网站的基本流程都差不多:上传病毒样本、被加密的文件、勒索信全文或是信里的邮件地址等信息,它就能自动帮你分辨是哪一款勒索软件。如果是目前已经被攻破的勒索软件,恭喜你,网站会提供对应的解密工具和详细的使用说明。(很多外国网站和说明书都是纯英文的,这里推荐英文不太好的朋友用“彩云小译”,上面那几张截图就是用它翻译的,炒鸡好用,这是幺哥的良心推荐)如果通过这些方法依然没找到解密工具,甚至都没法分辨出勒索软件的种类,下一步就该拨打场外求助热线了。4. 场外求助你可以去一些技术研究或者安全论坛叫银。像“吾爱破解论坛”、“卡饭论坛”之类的,以及各大网络安全公司的官方论坛,比如“卡卡安全论坛”、“火绒论坛”、360社区等等(这里只是说几个例子,还有别的好去处可以在留言区推荐),找到相应版块,招呼网友和管理员。遇到危险大喊救命并不丢人,也不要觉得这是无谓的求助,正所谓“大隐隐于市,高手在民间”,技术大神经常隐藏在群众灌水的队伍里。网上有过不少通过论坛求助成功解密的案例。据幺哥了解,只要你会用小学生文明礼貌用语,很多论坛管理员还是会回应的。火绒论坛的管理员回复瑞星卡卡安全论坛的管理员回复通过场外求助最终解密的例子也不少。比如前阵子吾爱破解论坛的用户在四处求助无门后,顺手去瑞星的“卡卡安全论坛”发了个求助帖,没想到管理员很快就过来帮忙,最终成功解密,省下价值几台iPhone的赎金。(就是上图的那个案例)如果实在没办法,你也可以在网上找到一些安全研究员的私人公众号,或是安全公司的公众号求助。比如我上篇讲勒索的文章里提到的深信服千里目实验室朋友王正,就开了个公众号:安全分析与研究,遇到勒索病毒实在没办法可以去找这位老司机带路。(上面那些自助解密工具链接其实也是他帮忙整理的)万不得已,你还可以求助万能的淘宝。在淘宝上搜索“勒索病毒解密”,你会发现上面有一大票店家。这算是个求助途径,但幺哥并不是很推荐,毕竟是收费的。而且,淘宝上帮人解密的店铺,其实大部分用的也是网上公开的解密工具。从逻辑上来讲,正牌安全公司代表着这颗星球最强的反勒索实力,但凡某款勒索病毒被安全公司攻破,通常会昭告天下:“XXXX公司率先攻破XXXX”,就像这样:然后相应的解密工具就会同步到各大反勒索网站。淘宝店主不是太可能掌握某种特殊的解密技巧。不过,如果你觉得自己上网求助、找工具麻烦,或者担心自己手抖误操作,也不妨出点小钱让他们代劳,前提是价格厚道。同时幺哥也要提醒一句说,最好找信誉较高的店,否则先被勒索再被骗,可能会怀疑人生。5. 找勒索者唠嗑除了求助第三方,你其实也可以直接联系一下勒索者,勒索信里通常有联系方式。编一段声泪俱下的故事,砍砍价,或是告诉对方自己正在想办法准备赎金,但是没有购买虚拟币的经验,需要一些时间学习和开户,试试看能不能延期付款。网友clg808发邮件吐槽赎金太贵万一勒索者心情好,给你个折扣什么或者延期,甚至被你的真诚和人生哲学所打动,改邪归正,也不是没可能,虽然概率有点小。顺道说一个小操作:通常情况,勒索病毒作者为了证明自己有能力解密,会给一次测试解密的机会,比如允许你发给他三个文件,免费帮你解密。如果你被加密的文件里,有一些需要紧急使用的非机密文件(比如刚写完的稿子),不妨直接发给勒索者让他解密。6. 交钱还是死磕勒索者不会留给你太多时间,大部分勒索病毒都会带一个倒计时,比如超过24小时赎金翻倍,超过三天就撕票,永远无法解密。所以其实最重要的是,你必须做好自救失败的打算。如果被勒索的文件真的非常重要,请提前准备好一笔赎金,最后关头也许用得上。虽然交赎金意味着助长勒索之风,但也是无奈之举。前几天《纽约时报》有则新闻,讲美国有225位市长联名支持一项不给黑客支付赎金的决议,表面听起来非常振奋人心,可问题来了,等到黑客真的锁死医院、发电厂、政府,整个城市陷入瘫痪,这些市长真的能顶住不支付赎金?幺哥的个人观点是,支付赎金这件事没有绝对,如果被锁住的文件关系重大,还是得做好两手准,与其中了勒索病毒再死撑着不交赎金然后自己吃亏,倒不如吃一堑长一智,做好防备,争取以后不被勒索。如果你被勒索的文件既不重要也不紧急,倒也不妨下定决心死磕,兴许过一段时间安全公司就会找出解密方法。不过,这个期限可能是一个月,也可能是一年,甚至十年,就跟中彩票似的。研究员王正告诉我,就像 Globelmposter、CrySiS 两款勒索新的变种,已经有一年多了,至今还没有发布相关解密工具。总之,看命。其实最稳妥的方法还是第一时间联系专业的安全公司,不过,我问了几个朋友,他们说安全公司通常只对公司,对个人的话,难说。当然,如果你不缺钱,就不难说了。总结说了这么多,幺哥还是希望大家运气好点,别中勒索。之前看到一则新闻,讲国外有安全公司专门收钱摆平勒索,收费很高,每次都能解开,后来被发现居然是收了客户的钱之后,暗地里去给勒索团伙交赎金拿密钥,自己坐当中间商赚差价。说实话,这也不能全怪安全公司,毕竟反网络勒索最好的方法还是防患于未然,而不是亡羊补牢,掏钱找安全公司,除了摆平当下遇到的事,更大的意义在于防止未来再踩同样的坑。勒索病毒这事儿未来一定会越来越多,一个很重要的原因是肉身太难抓。这个逻辑和电信诈骗难打击一样,犯罪分子肉身藏在国外,存在跨境执法困难的问题。 有时候我就心想,这样下去会不会产生一个奇特的现象:A国的团伙勒索B国的人民,B国的团伙勒索A国的人民,两边罪犯都难抓,但两边的人民都遭罪。我把这种现象称之为“共轭勒索”。在这种情况下,作为普通吃瓜群众,除了自保,也没有什么办法。最后,希望大家平时不乱点文件,不乱看不该看的东西,上正规的网站,养成备份重要文件的习惯,或者干脆用同步云盘,实时同步重要文件。祝各位浅友网上冲浪愉快。---参考文章:熊猫正正.安全分析与研究.《企业中了勒索病毒该怎么办?可以解密吗?》360企业安全服务团队.安全客.《勒索病毒应急响应 自救手册(第二版)》发布于 2019-07-18 18:14赞同 18814 条评论分享收藏喜欢
中了勒索病毒怎么办---(教程贴持续更新) - 知乎
中了勒索病毒怎么办---(教程贴持续更新) - 知乎首发于数据恢复切换模式写文章登录/注册中了勒索病毒怎么办---(教程贴持续更新)DATASOS 1.我为什么要发这篇文章原因一:面对越来越疯狂的勒索病毒,我不能无动于衷;自2016年开始勒索病毒出现到2017年wannacry肆意传播,再到2020年WannaRen通过各大下载资源站传播。勒索病毒越来越疯狂了,给大家看一组数字。原因二:网上没有专业人士写的详细的教程贴;各大搜索引擎任意搜索下,好帖是有,但95%以上都是广告贴和水贴,甚至一些误人子弟,未经深思熟虑写的帖子。病不在他们身上,真敢随便开药,治死不偿命啊!总得有人补上这个空缺,各路大神都很忙,只有我还有时间码字。原因三:不想重复造轮子,方便别人的同时也方便自己每天都会有不少朋友通过各种渠道找到我,咨询关于勒索病毒的事情,对每个朋友我都要重复一遍基本的东西,而且还要表现得不厌其烦。其实内心已经接近崩溃,这重复得工作什么时候是个头。而写完这个帖子就可以节省很多时间,想想就觉得刺激。 2. 中勒索病毒后的正确操作姿势中毒后正确的操作步骤整体概括如上图。我们接下来详细解说每一步2.1 数据不重要 若属于这种情况那么恭喜你侥幸躲过一劫,但别得意的太早,因为如果你对安全时间不加以重视,那么迟早有一天你的重要数据会被加密,这绝非危言耸听。 2019年我亲自处理过一个典型的案子。某集团企业邮件系统被黑客攻破,但仅仅造成一台PC机中毒,IT部门抱着侥幸心理和大事化小的态度格式化重装系统并集中修改了邮箱密码,并未做其他任何安全防护工作。5个月后,整个集团20多台服务器被全部攻破数据加密。 如下图步骤1:找准中毒原因,修复薄弱环节,避免二次中毒。我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神,那就从以下几个思路入手。1.从各类网络设备的日志中查找异常(防火墙日志);2.从服务器操作系统安全日志查找异常;(windows安全日志,下图中日志被黑客清空了)3.从客户端操作系统查找异常;(客户端异常登录日志)4:利用网络上免费的病毒溯源工具查找异常。时间允许的花我后续会专门写一篇详细溯源教程配合工具使用方法,(--勒索病毒溯源分析教程贴预留位置,如有安全大牛赞助此贴或者有现成的帖子请告知-)步骤2:格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑,建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!安全防护绝对不是买一套防火墙或者装几套杀毒软件就能解决问题的。任意一个新的勒索病毒的变种就可以躲开几乎所有的杀毒软件和防火墙。这也是为什么各大厂商的杀毒软件和防火墙都在持续不断的更新自己的病毒库的原因,因为只有安全人员捕获了病毒特征才有机会识别并杀掉病毒。这意味着肯定得有一部分人要先中毒牺牲掉自己,才能引起各大杀软和防火墙公司的注意。2.2 数据重要但不紧急(这里的不紧急是指可以等上1-3年)步骤1. 通过PE模式或者安全模式进入服务器,把重要的数据备份一遍(最好是全盘备份至一个空的移动硬盘)为什么一定要在安全模式或者PE模式下,因为部分勒索病毒加密数据后会在注册表中修改开机自启动,如果你不在安全模式下或者PE模式下,那么很有可能你插上移动硬盘后你的移动硬盘里面的数据也会被加密。为什么最好是全盘备份,因为有些黑客的解密程序要用到你本地机器上勒索信的公钥。如果这些文件你备份的时候没有备份完整,即使后续出来免费的解密程序你也无法解密。步骤2. 和 步骤3 同上面的数据不重要2.3 数据重要且紧急步骤1:先断网而不是先关机。 我们从大量勒索病毒案例中分析得出,勒索病毒的黑客攻击的时间集中在晚上或者非工作日。因为晚上和非工作日不容易被发现,有充足的时间进行加密。当发现ERP服务器中毒或者金蝶用友财务服务器中勒索病毒之后,应该把中毒服务器的网线断开,如果是虚拟机可以把网卡禁用,防止横向扩展传播。不要着急关机的原因有两个 原因1:中毒服务器不关机,就有可能从内存DUMP中找到加密的私钥(我们成功用此方法找到过过密钥)这种方法找到私钥的可能性不大,但至少是一种可能。原因2:如果服务器的数据量非常大,黑客加密程序正在加密过程中突然断电,那么会导致这个文件加密不完整,彻底损坏掉。即使黑客也无法解密此类文件。这个道理很容易理解,就好比你正在编辑一个EXCEL,如果没有保存直接断电,很可能这个EXCEL再打开就会乱码。财务工作人员应该都遇到过这个问题。因为我修复过很多这种原因损坏的EXCEL。步骤2:先备份中毒后的数据而不是先杀毒企业发现服务器中毒之后往往是先装各种杀毒软件杀毒,错!!!错!!!错!!!如果发现中毒后第一时间就进行杀毒,反倒会破坏服务器中毒后的最原始状态,为后面的数据恢复和解密造成很多不便。在杀毒之前应该先做备份,如果中毒机器是虚拟机,那么就做一个克隆。如果中毒机器是物理机就先用一个空的移动硬盘进入安全模式或者PE模式将中毒机器中重要的数据先备份下。步骤3: 确定勒索病毒家族并尝试免费解密工具确定中毒的是那种类型的勒索病毒才能找相应的解密工具,如何确定自己中的是那种勒索病毒有两个比较快捷的方法,可以通过以下网站上传文件样本进行查询。网站打开之后的网站如下图,按照我标记出来的上传东西就可以上面网站对于新的勒索病毒可能无法判断,您可以把文件打个压缩包发送给到我们的邮箱hddfixer@126.com 我们可以免费协助你做这个分析。最全免费勒索病毒解密工具可以在以下几个网站找到,1:no moreransom 是一个国际的反勒索联盟组织,里面收集了很多免费的解密工具。例如很出名的GandCrab 5.2的解密程序就在这里可以下到。2: Emsisoft 是一家新西兰的防止恶意软件的公司,他们也有自己研发的免费解密工具,但大多都是针对较早期病毒的。3:卡巴斯基勒索病毒解密工具下载地址如果尝试自己的文件是否能被免费解密程序完整解密,一定要把一小部分文件拷贝到一台无关紧要的电脑上做测试。确定可以解密之后再大批量解密,且不可在原始服务器上进行解密测试,几乎所有的解密程序都是需要对文件进行写入操作的,一旦操作错误可能会导致文件彻底损坏。步骤4:寻求专业第三方数据恢复公司技术支持修复数据不知道是哪位专家给普及的常识“只要是被黑客加密的数据无人能解,除了黑客自己”实际上如果想直接把非对称加密的数据暴力破解掉,以现在的计算能力,几乎是很难实现。关于非对称加密这里有详细的解说,你看完也就知道为什么专家们那么下结论了黑客用了这种方式加密,我们为什么非要逼着自己逆向解密出来才算解密????难道只有这样才能拿一百分?????才显得牛XXX???我们要的是数据,只要能把数据拿回来,只要是合法的方法都应该被采纳。我就是用下面这些方法来解密勒索病毒的。为什么勒索病毒可以被除黑客外的第三方解密?原因如下图这是一个泛微OA用的SQL数据库, 被5ss5c勒索病毒加密了。加密仅仅只是数据库中的一部分数据而已,并非整个数据库都会被加密,因为黑客在加密的过程中必须平衡加密的时间和加密的质量。如果全字节加密必然耗费很长时间,那么根本来不及加密大量数据就会被客户发现,如果想快速加密必然无法全字节加密。这就给了我们可以修复的方法。经过提表重建数据库后的数据如下图是不是通过曲线救国的方式也实现了解密数据的目的?! 但 但 但是以上方法主要针对数据库。如果不是数据库文件,并且文件大约100M 那么也可以通过这种方式修复。但手工修起来很累也很贵。除了数据库几乎很少有文件具备这么大的价值。1:如果被勒索加密的是数据库类型文件。 例如泛微OA,通达软件,金蝶,用友,管家婆,医院HIS系统等一般需要恢复的数据都为数据库类型文件。例如:SQL 数据库 ,ORACLE数据库等等。都可以通过我上面说的修库的方式进行勒索病毒解密。修复的最基本原理是通过数据库提表并重建数据库。我通过这种方式修复过上千个数据库。最大的中毒数据库单文件640G。而且数据解密后ERP系统直接可用。2:如果勒索解密的是word excel等办公文档类型的文件并且数据文件小于100M ,那么通过上面手工修复的方式是行不通的,但不代表离开黑客就没有任何解密的可能。 黑客的加密程序也是程序,连微软这么大的软件都会有这么多漏洞,勒索病毒自然也会漏洞。我们完全可以利用黑客的漏洞把这些数据解密。当然这个不是都能行的通的。具体方法就不在这里详细说了,以免收到死亡威胁。步骤5:谨慎联系黑客。如果以上方法都成功修复数据,数据又确实很重要,那么不妨联系下黑客。黑客加密完数据之后都会在电脑上留勒索信,通常你发现服务器不能用之后,第一个出现在电脑屏幕上的就是勒索信。勒索信形式各式各样,但一般都以 TXT 或者 HTML或者是EXE文件格式存在。在每一个被加密的文件夹目录里面都会有一封勒索信。勒索信如下图可以根据黑客留的勒索信联系黑客,但请不要傻乎乎直接发邮件过去,并非所有的黑客都遵守信用,并非拿到解密程序就可以顺利解密。黑客只接受比特币付款,虚拟货币是不记名的,你根本不知道钱付给了谁。而且无法追回比特币。在我们以往接触的案例中,有客户付款后没有解密的,也有付款后被二次索要费用的,也有付款后成功解密的。在发邮件之前你最好做好充足的功课。有一些绝妙的操作方法我们无法公布在互联网中,因为不止你会看到我们的帖子,黑客也会看到。如果需要协助可以私信联系我们或者通过邮件联系我们。步骤6:找准中毒原因,修复薄弱环节,避免二次中毒。我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神,那就从以下几个思路入手。1.从各类网络设备的日志中查找异常(防火墙日志);2.从服务器操作系统安全日志查找异常;(windows安全日志,下图中日志被黑客清空了)3.从客户端操作系统查找异常;(客户端异常登录日志)4:利用网络上免费的病毒溯源工具查找异常。时间允许的花我后续会专门写一篇详细溯源教程配合工具使用方法,步骤7:格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑,建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!安全防护绝对不是买一套防火墙或者装几套杀毒软件就能解决问题的。任意一个新的勒索病毒的变种就可以躲开几乎所有的杀毒软件和防火墙。这也是为什么各大厂商的杀毒软件和防火墙都在持续不断的更新自己的病毒库的原因,因为只有安全人员捕获了病毒特征才有机会识别并杀掉病毒。这意味着肯定得有一部分人要先中毒牺牲掉自己,才能引起各大杀软和防火墙公司的注意。发布于 2020-04-09 21:12计算机病毒勒索病毒Wana Decrypt0r 2.0(计算机病毒)赞同 22045 条评论分享喜欢收藏申请转载文章被以下专栏收录数据恢复分享数据丢失恢复技巧数据恢复大师【嗨格式】专注数据恢复领域、打造行
中了勒索病毒并且硬盘有重要资料怎么办? - 知乎
中了勒索病毒并且硬盘有重要资料怎么办? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册生活网络安全信息安全硬盘勒索病毒中了勒索病毒并且硬盘有重要资料怎么办?关注者98被浏览220,350关注问题写回答邀请回答好问题添加评论分享27 个回答默认排序康小泡信息安全 程序员 关注更新建议最好不要随意去删除勒索病毒留下的文档或者数据,最近新出一款国产勒索病毒,需要用户生成的datafile目录下的一个叫appcfg.cfg里面的数据,如果一旦删除那么你就无法解密文件了。及时各大厂商出解密工具、也是于事无补、(后续,在这款通过微信 支付的勒索病毒,能在删除了appcfg.cfg或者重装系统后还能解密文件,前提是能找到一对文件--文件被加密前的,和被加密文件。数据大小在500kb-10M。如果有人还没有解密成功,可以私信了解一下)原答案---------------------------------------------------------------------------------1.如果文件特别重要的话,那就只有交赎金了。不建议直接联系黑客,可以去淘宝上搜一下,淘宝上有很多人协助你解密文件(最好先提前发邮件咨询一下黑客收费多少,不要被第三方收几倍的高价,适当的去谈价格)。2.个人觉得很多容易被一些人忽略的问题是查找中毒的原因。为什么会中招。如果不会排查,可以找做反病毒的帮助你去排查原因。360的反勒索服务,你提交过去就会有人帮你排查原因。只有找到原因了,才能知道怎么入防御,才能避免再次中招,就算你机器里面没有什么重要的文件,但是重装系统也是一件痛苦的事情不是吗?3.如果没有那么重要,但是又有意义的文件。建议备份下来。最好是将这个系统备份下来.说说原因吧。之前有遇到勒索病毒是将密钥写在了注册表里面\释放到appdata目录下等,如果你重装了或者没有备份系统。那么就算你将被加密的文件备份下来也是浪费了。还有是根据你计算机的一些硬件来算的密钥,如果你重装了那么也解不开你的文件了。所以建议最好是备份整个系统。4.可以在这个上面查一下,看一下是否又对应的解密工具出来了、The No More Ransom Project,这个网站上面的解密工具由多家公司在进行维护。如图。或者下载360安全卫士→功能大全→解密大师:如果目前能解密了,扫描一下就直接解密文件。查询自己中了什么类型的勒索病毒,可以访问http://lesuobingdu.360.cn进行查询。可以选择输入被加密文件后缀,或者黑客留下的邮件,再或者直接上传被加密文件。5.对于关注一些勒索病毒样本分析的关注者,可以访问这个页面去查看一些样本分析文章:勒索病毒家族 - 勒索病毒-360社区或者关注微信公众号:安全分析与研究(国内国外出的我看他们都会写文章分析,也不区分大众还是小众。不过有部分文章更偏事件性,总结性,而且技术性。)编辑于 2019-10-22 11:47赞同 14640 条评论分享收藏喜欢收起谢幺网络安全话题下的优秀答主 关注有网线就直接拔网线,没网线则断开WiFi,保持冷静,如果此时你周围还有同事或者朋友正在上网,悄咪咪看一下他们的电脑是否也出了问题。许多勒索病毒具有横向传播功能,就像是感冒病毒一样传染给局域网里的其他电脑,早断网一秒,亲人少流一行泪,如果整个办公室都因为你而中招,那么勒索你的就不再只有黑客,还有你的同事和老板。保留犯罪现场如果还想找回被加密的文件,尽量让现场保持原样。不要指望重装系统就能好,有些勒索病毒的解密需要根据你电脑的一些软硬件信息(比如注册表信息)来生成密钥,一旦这些信息被破坏,很可能永远都无法解密,交了钱也没辙。最好也不要重启电脑或关机。这是网络勒索,网管的那套“万能重启大法”在此并不好使,还可能弄巧成拙,因为电脑内存里很可能留有用来解密的线索,专业人士可以拿来破案,一旦关机断电就会被清空。在这方面警察蜀黍办案的流程就值得学习,在第一时间保留线索和作案现场,方便日后回溯线索和破案。保留好现场,下面我们就可以进入自救环节。到这一步,重要文件应该已经变成了加密状态,就像这个亚子。勒索病毒千千万,你得知道自己中了哪一卦。怎么办?2. 收集病毒特征仔细回想一下,在中毒的前一刻,自己是不是上了什么不该上的网站,打开了什么不该打开的文件?看了什么不该看的东西?是不是有 FBI warning 过你?如果你真的什么也没做,那也有可能是跟你同在一个局域网里的同事干的,当然,他有可能并不会承认,你不妨抽出皮带拷问他一下。总之,能直接找到病毒样本是最好。观察被加密的文件的后缀名,不同勒索病毒的后缀不一样,一般通过后缀名就能大致判断种类。比如 GlobeImposter 勒索病毒的常用后缀是:auchentoshan、动物名+4444,而 WannaCry 勒索病毒的后缀名是 wncry。怎么判断呢?上网搜呗,度娘谷歌都行,就像这样:也有些自信心爆棚的病毒会在勒索信自报家门,比如下面这个。总之,观察勒索信里信外,看有没有透露能判断勒索软件的标志。如果以上都没法确定病毒种类,记下勒索信的文件路径、具体内容、信里提及的所有网址、邮箱地址等等,这些都可以留作判断依据,具体怎么用后面会讲。3. 自助解密正所谓求人不如求己,即便你是个电脑小白,也有一定概率直接找到解密工具。全世界的安全公司都在努力对抗勒索病毒,其中很多公司都推出了的勒索病毒免费解密工具聚合网站。比如卡巴斯基的:https://noransom.kaspersky.com/奥地利知名杀软 Emsisoft 的:https://www.emsisoft.com/decrypter/知名安全研究团队 malwareteam 的:https://id-ransomware.malwarehunterteam.com/360的:https://lesuobingdu.360.cn/Avast 的:https://www.avast.com/zh-cn/ransomware-decryption-tools也有一些非商业公司成立的勒索解密网站,比如著名的 Nomoreransom 勒索软件解密工具集,这是由各国警方和几家著名的网络公司联合发布的“公益救助”网站:https://www.nomoreransom.org/zh/decryption-tools.html这些网站的基本流程都差不多:上传病毒样本、被加密的文件、勒索信全文或是信里的邮件地址等信息,它就能自动帮你分辨是哪一款勒索软件。如果是目前已经被攻破的勒索软件,恭喜你,网站会提供对应的解密工具和详细的使用说明。(很多外国网站和说明书都是纯英文的,这里推荐英文不太好的朋友用“彩云小译”,上面那几张截图就是用它翻译的,炒鸡好用,这是幺哥的良心推荐)如果通过这些方法依然没找到解密工具,甚至都没法分辨出勒索软件的种类,下一步就该拨打场外求助热线了。4. 场外求助你可以去一些技术研究或者安全论坛叫银。像“吾爱破解论坛”、“卡饭论坛”之类的,以及各大网络安全公司的官方论坛,比如“卡卡安全论坛”、“火绒论坛”、360社区等等(这里只是说几个例子,还有别的好去处可以在留言区推荐),找到相应版块,招呼网友和管理员。遇到危险大喊救命并不丢人,也不要觉得这是无谓的求助,正所谓“大隐隐于市,高手在民间”,技术大神经常隐藏在群众灌水的队伍里。网上有过不少通过论坛求助成功解密的案例。据幺哥了解,只要你会用小学生文明礼貌用语,很多论坛管理员还是会回应的。火绒论坛的管理员回复瑞星卡卡安全论坛的管理员回复通过场外求助最终解密的例子也不少。比如前阵子吾爱破解论坛的用户在四处求助无门后,顺手去瑞星的“卡卡安全论坛”发了个求助帖,没想到管理员很快就过来帮忙,最终成功解密,省下价值几台iPhone的赎金。(就是上图的那个案例)如果实在没办法,你也可以在网上找到一些安全研究员的私人公众号,或是安全公司的公众号求助。比如我上篇讲勒索的文章里提到的深信服千里目实验室朋友王正,就开了个公众号:安全分析与研究,遇到勒索病毒实在没办法可以去找这位老司机带路。(上面那些自助解密工具链接其实也是他帮忙整理的)万不得已,你还可以求助万能的淘宝。在淘宝上搜索“勒索病毒解密”,你会发现上面有一大票店家。这算是个求助途径,但幺哥并不是很推荐,毕竟是收费的。而且,淘宝上帮人解密的店铺,其实大部分用的也是网上公开的解密工具。从逻辑上来讲,正牌安全公司代表着这颗星球最强的反勒索实力,但凡某款勒索病毒被安全公司攻破,通常会昭告天下:“XXXX公司率先攻破XXXX”,就像这样:然后相应的解密工具就会同步到各大反勒索网站。淘宝店主不是太可能掌握某种特殊的解密技巧。不过,如果你觉得自己上网求助、找工具麻烦,或者担心自己手抖误操作,也不妨出点小钱让他们代劳,前提是价格厚道。同时幺哥也要提醒一句说,最好找信誉较高的店,否则先被勒索再被骗,可能会怀疑人生。5. 找勒索者唠嗑除了求助第三方,你其实也可以直接联系一下勒索者,勒索信里通常有联系方式。编一段声泪俱下的故事,砍砍价,或是告诉对方自己正在想办法准备赎金,但是没有购买虚拟币的经验,需要一些时间学习和开户,试试看能不能延期付款。网友clg808发邮件吐槽赎金太贵万一勒索者心情好,给你个折扣什么或者延期,甚至被你的真诚和人生哲学所打动,改邪归正,也不是没可能,虽然概率有点小。顺道说一个小操作:通常情况,勒索病毒作者为了证明自己有能力解密,会给一次测试解密的机会,比如允许你发给他三个文件,免费帮你解密。如果你被加密的文件里,有一些需要紧急使用的非机密文件(比如刚写完的稿子),不妨直接发给勒索者让他解密。6. 交钱还是死磕勒索者不会留给你太多时间,大部分勒索病毒都会带一个倒计时,比如超过24小时赎金翻倍,超过三天就撕票,永远无法解密。所以其实最重要的是,你必须做好自救失败的打算。如果被勒索的文件真的非常重要,请提前准备好一笔赎金,最后关头也许用得上。虽然交赎金意味着助长勒索之风,但也是无奈之举。前几天《纽约时报》有则新闻,讲美国有225位市长联名支持一项不给黑客支付赎金的决议,表面听起来非常振奋人心,可问题来了,等到黑客真的锁死医院、发电厂、政府,整个城市陷入瘫痪,这些市长真的能顶住不支付赎金?幺哥的个人观点是,支付赎金这件事没有绝对,如果被锁住的文件关系重大,还是得做好两手准,与其中了勒索病毒再死撑着不交赎金然后自己吃亏,倒不如吃一堑长一智,做好防备,争取以后不被勒索。如果你被勒索的文件既不重要也不紧急,倒也不妨下定决心死磕,兴许过一段时间安全公司就会找出解密方法。不过,这个期限可能是一个月,也可能是一年,甚至十年,就跟中彩票似的。研究员王正告诉我,就像 Globelmposter、CrySiS 两款勒索新的变种,已经有一年多了,至今还没有发布相关解密工具。总之,看命。其实最稳妥的方法还是第一时间联系专业的安全公司,不过,我问了几个朋友,他们说安全公司通常只对公司,对个人的话,难说。当然,如果你不缺钱,就不难说了。总结说了这么多,幺哥还是希望大家运气好点,别中勒索。之前看到一则新闻,讲国外有安全公司专门收钱摆平勒索,收费很高,每次都能解开,后来被发现居然是收了客户的钱之后,暗地里去给勒索团伙交赎金拿密钥,自己坐当中间商赚差价。说实话,这也不能全怪安全公司,毕竟反网络勒索最好的方法还是防患于未然,而不是亡羊补牢,掏钱找安全公司,除了摆平当下遇到的事,更大的意义在于防止未来再踩同样的坑。勒索病毒这事儿未来一定会越来越多,一个很重要的原因是肉身太难抓。这个逻辑和电信诈骗难打击一样,犯罪分子肉身藏在国外,存在跨境执法困难的问题。 有时候我就心想,这样下去会不会产生一个奇特的现象:A国的团伙勒索B国的人民,B国的团伙勒索A国的人民,两边罪犯都难抓,但两边的人民都遭罪。我把这种现象称之为“共轭勒索”。在这种情况下,作为普通吃瓜群众,除了自保,也没有什么办法。最后,希望大家平时不乱点文件,不乱看不该看的东西,上正规的网站,养成备份重要文件的习惯,或者干脆用同步云盘,实时同步重要文件。祝各位浅友网上冲浪愉快。---参考文章:熊猫正正.安全分析与研究.《企业中了勒索病毒该怎么办?可以解密吗?》360企业安全服务团队.安全客.《勒索病毒应急响应 自救手册(第二版)》发布于 2019-07-18 18:14赞同 18814 条评论分享收藏喜欢
勒索病毒详解+处置流程 - 知乎
勒索病毒详解+处置流程 - 知乎切换模式写文章登录/注册勒索病毒详解+处置流程李白你好公众号现在只对常读和星标的公众号才展示大图推送,建议大家把网络技术交流圈设为星标,否则可能就看不到啦!----------------------------------------------------------------------勒索病毒特征即磁盘文件被加密,一旦完成勒索过程则无法恢复文件,因此这类病毒以预防为主,安装杀毒软件并做好主机防黑工作及时打补丁,对重要文件要及时隔离备份1.了解现状第一时间了解目前什么情况:文件被加密?设备无法正常启动?勒索信息展示?桌面有新的文本文件并记录加密信息及解密联系方式?2.了解中毒时间文件加密时间?设备无法正常启动的时间?新的文本文件的出现时间?了解事件发生时间,后面以此时间点做排查重点;3.了解系统架构4.确认感染机器5.感染文件特征和感染时间1、操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及解密联系方式;2、被加密的文件类型;3、加密后的文件后缀;6.被加密的文件类型.der,.pfx,.key,.crt,.csr,.p12,.pem,.odt,.ott,.sxw,.stw,.uot,.3ds,.max,.3dm,.ods,.ots,.sxc,.stc,.dif,.slk,.wb2,.odp,.otp,.sxd,.std,.uop,.odg,.otg,.sxm,.mml,.lay,.lay6,.asc,.sqlite3,.sqlitedb,.sql,.accdb,.mdb,.dbf,.odb,.frm,.myd,.myi,.ibd,.mdf,.ldf,.sln,.suo,.cpp,.pas,.asm,.cmd,.bat,.ps1,.vbs,.dip,.dch,.sch,.brd,.jsp,.php,.asp,.java,.jar,.class,.mp3,.wav,.swf,.fla,.wmv,.mpg,.vob,.mpeg,.asf,.avi,.mov,.mp4,.3gp,.mkv,.3g2,.flv,.wma,.mid,.m3u,.m4u,.djvu,.svg,.psd,.nef,.tiff,.tif,.cgm,.raw,.gif,.png,.bmp,.jpg,.jpeg,.vcd,.iso,.backup,.zip,.rar,.tgz,.tar,.bak,.tbk,.bz2,.PAQ,.ARC,.aes,.gpg,.vmx,.vmdk,.vdi,.sldm,.sldx,.sti,.sxi,.602,.hwp,.snt,.onetoc2,.dwg,.pdf,.wk1,.wks,.123,.rtf,.csv,.txt,.vsdx,.vsd,.edb,.eml,.msg,.ost,.pst,.potm,.potx,.ppam,.ppsx,.ppsm,.pps,.pot,.pptm,.pptx,.ppt,.xltm,.xltx,.xlc,.xlm,.xlt,.xlw,.xlsb,.xlsm,.xlsx,.xls,.dotx,.dotm,.dot,.docm,.docb,.docx,.doc7.加密后的文件后缀.WNCRYT,.lock,.pre_alpha,.aes,.aes_ni,.xdata,.aes_ni_0day, .pr0tect,.[stopstorage@qq.com].java,文件后缀无变化;8.确认感染时间Linux系统:执行命令stat[空格]文件名,包括三个时间access time(访问时间)、modify time(内容修改时间)、change time(属性改变时间),如:例:stat /etc/passwdWindows系统:例:右键查看文件属性,查看文件时间9.处理方式未被感染主机:关闭SSH、RDP等协议,并且更改主机密码;备份系统重要数据、且文件备份应与主机隔离;禁止接入U盘、移动硬盘等可执行摆渡攻击的设备;被感染主机:立即对被感染主机进行隔离处置,禁用所有有线及无线网卡或直接拔掉网线防止病毒感染其他主机;禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备;无法定位到文件?木马执行完毕后自删除采用傀儡进程技术,恶意代码只在内存展开执行高级Rootkit或Bootkit级木马,强对抗性,三环工具无法探测解决方式收集系统事件日志,保持系统环境,请求后端技术支持案例一(1)事件概述某日接到应急响应请求:某外网服务器中敲诈者病毒。(2)事件分析应急响应人员到场了解情况后,发现服务器中植入勒索病毒,导致全盘文件被加密为java后缀格式文件,所有应用均无法使用。发现系统所有文件被加密为java后缀文件;桌面存在敲诈文件“FILES ENCRYPTED.txt”,内容为敲诈者的勒索信息,疑似攻击者邮箱为:xxxxxdx@qq.com;该email地址已有多起攻击事件:查看系统进程,发现天擎的相关防护服务已被关闭;进一步排查,发现服务器对外开放了3389远程桌面管理端口;administrator账户口令为弱口令,且自系统安装以来未修改过密码:(3)结论:服务器中“敲诈者”病毒,磁盘文件被全盘加密,目前暂时无法解密,只能通过重装操作系统来恢复,事件原因是黑客通过服务器3389端口弱口令进入,并上传加密程序执行加密;案例二应急响应小组成员在通过登录被加密感染的数据库服务器,发现其桌面上弹出勒索软件提示窗口:通过对被加密文件进行索引,发现加密的开始时间为2017年12月X日X点09分13秒;通过对系统日志进行分析,发现大量的远程桌面服务爆破日志:同时,于2017年X月X日凌晨00点09分26秒,IP归属于荷兰的攻击者成功登录该系统:(3)结论向客户说明服务器中勒索病毒,目前暂时无法解密,只能通过重装操作系统来恢复;10.勒索病毒家族11.传播方式(一)服务器入侵传播黑客先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如,卸载服务器上的安全软件并手动运行勒索软件。这种攻击方式,一旦服务器被入侵,安全软件一般是不起作用的。管理员账号密码被破解,是服务器被入侵的主要原因。其中,管理员使用弱密码被黑客暴力破解,部分黑客利用病毒或木马潜伏用户电脑盗取密码,黑客还可从其他渠道直接购买账号密码(这里就涉及到敏感数据泄露问题了。)(二)利用漏洞自动传播通过系统自身漏洞进行传播扩散,是2017年的一个新特点。WannaCry勒索病毒就是利用永恒之蓝(EternalBlue)漏洞进行传播。此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金,但因传播方式不同,更难以防范,需要用户提高安全意识,及时更新有漏洞的软件或安装对应的安全补丁。(三)软件供应链攻击传播软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。(四)邮件附件传播通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件,一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。这类传播方式针对性较强,主要瞄准公司企业、各类单位和院校,电脑中往往不是个人文档而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。(五)利用挂马网页传播通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,没有特定的针对性,中招的受害者多数为“裸奔”用户,未安装任何杀毒软件。使用了MS17-010远程高危漏洞进行自我传播复制敲诈者通过文件加密方面的编程较为规范,流程符合密码学标准(RSA+AES加密),很难通过其他手段对勒索文件进行解密。12.勒索病毒攻击特点(一)无C2服务器加密技术流行2017年,我们发现黑客在对文件加密的过程中,一般不再使用C2服务器了,也就是说现在的勒索软件加密过程中不需要回传私钥了。这种技术的加密过程大致如下:1)在加密前随机生成新的加密密钥对(非对称公、私钥)2)使用该新生成新的公钥对文件进行加密3)把新生成的私钥采用黑客预埋的公钥进行加密保存在一个ID文件或嵌入在加密文件里解密过程大致如下:1)通过邮件或在线提交的方式,提交ID串或加密文件里的加密私钥(该私钥一般黑客会提供工具提取);2)黑客使用保留的预埋公钥对应的私钥解密受害者提交过来的私钥;3)把解密私钥或解密工具交付给受害者进行解密。通过以上过程可以实现每个受害者的解密私钥都不相同,同时可以避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。显然 ,这种技术是针对采用了各种隔离措施的政企机构所设计的。(二)攻击目标转向政企机构2017年,勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。(三)针对关键信息基础设施的攻击以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。(四)攻击目的开始多样化顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。(五)勒索软件平台化运营2017年,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。(六)境外攻击者多于境内攻击者2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。13.勒索病毒事件防御个人终端防御技术(一)文档自动备份隔离保护文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。鉴于勒索软件一旦攻击成功往往难以修复,而且具有变种多,更新快,大量采用免杀技术等特点,因此,单纯防范勒索软件感染并不是“万全之策”。但是,无论勒索软件采用何种具体技术,无论是哪一家族的哪一变种,一个基本的共同特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征,通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,就可以在相当程度上帮助用户挽回勒索软件攻击的损失。文档自动备份隔离技术就是在这一技术思想的具体实现,360将其应用于360文档卫士功能模块当中。只要电脑里的文档出现被篡改的情况,它会第一时间把文档自动备份在隔离区保护起来,用户可以随时恢复文件。无论病毒如何变化,只要它有篡改用户文档的行为,就会触发文档自动备份隔离,从而使用户可以免遭勒索,不用支付赎金也能恢复文件。360文档卫士的自动备份触发条件主要包括亮点:一、开机后第一次修改文档;二、有可疑程序篡改文档。当出现上述两种情况时,文档卫士会默认备份包括Word、Excel、PowerPoint、PDF等格式在内的文件,并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式。比如电脑里的照片非常重要,就可以把jpg等图片格式加入保护范围。此外,360文档卫士还集合了“文件解密”功能,360安全专家通过对一些勒索软件家族进行逆向分析,成功实现了多种类型的文件解密,如2017年出现的“纵情文件修复敲诈者病毒”等。如有网友电脑已不慎中招,可以尝试通过“文档解密”一键扫描并恢复被病毒加密的文件。(二)综合性反勒索软件技术与一般的病毒和木马相比,勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击,已经成为一种主流的技术趋势。下面就以360安全卫士的相关创新功能来分析综合性反勒索软件技术。相关技术主要包括:智能诱捕、行为追踪、智能文件格式分析、数据流分析等,具体如下。智能诱捕技术是捕获勒索软件的利器,其具体方法是:防护软件在电脑系统的各处设置陷阱文件;当有病毒试图加密文件时,就会首先命中设置的陷阱,从而暴露其攻击行为。这样,安全软件就可以快速无损的发现各类试图加密或破坏文件的恶意程序。行为追踪技术是云安全与大数据综合运用的一种安全技术。基于360的云安全主动防御体系,通过对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改则立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击,能够主动防御最新出现的勒索病毒。智能文件格式分析技术是一种防护加速技术,目的是尽可能的降低反勒索功能对用户体验的影响。实际上,几乎所有的反勒索技术都会或多或少的增加安全软件和电脑系统的负担,相关技术能否实用的关键就在于如何尽可能的降低其对系统性能的影响,提升用户体验。360研发的智能文件格式分析技术,可以快速识别数十种常用文档格式,精准识别对文件内容的破坏性操作,而基本不会影响正常文件操作,在确保数据安全的同时又不影响用户体验。数据流分析技术,是一种将人工智能技术与安全防护技术相结合的新型文档安全保护技术。首先,基于机器学习的方法,我们可以在电脑内部的数据流层面,分析出勒索软件对文档的读写操作与正常使用文档情况下的读写操作的区别;而这些区别可以用于识别勒索软件攻击行为;从而可以在“第一现场”捕获和过滤勒索软件,避免勒索软件的读写操作实际作用于相关文档,从而实现文档的有效保护。企业级终端防御技术(一)云端免疫技术在国内,甚至全球范围内的政企机构中,系统未打补丁或补丁更新不及时的情况都普遍存在。这并非是简单的安全意识问题,而是多种客观因素限制了政企机构对系统设备的补丁管理。因此,对无补丁系统,或补丁更新较慢的系统的安全防护需求,就成为一种“强需求”。而云端免疫技术,就是解决此类问题的有效方法之一。这种技术已经被应用于360的终端安全解决方案之中。所谓云端免疫,实际上就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户电脑做防护或打补丁;对于无法打补丁的电脑终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵;除此之外,云端还可以直接升级本地的免疫库或免疫工具,保护用户的电脑安全。需要说明的事,云端免疫技术只是一种折中的解决方案,并不是万能的或一劳永逸的,未打补丁系统的安全性仍然比打了补丁的系统的安全性有一定差距。但就当前国内众多政企机构的实际网络环境而诺言,云端免疫不失为一种有效的解决方案。(二)密码保护技术针对中小企业网络服务器的攻击,是2017年勒索软件攻击的一大特点。而攻击者之所以能够渗透进入企业服务器,绝大多数情况都是因为管理员设置的管理密码为弱密码或帐号密码被盗。因此,加强登陆密码的安全管理,也是一种必要的反勒索技术。具体来看,加强密码保住主要应从三个方面入手:一是采用弱密码检验技术,强制网络管理员使用复杂密码;二是采用反暴力破解技术,对于陌生IP的登陆位置和登陆次数进行严格控制;三是采用VPN或双因子认证技术,从而使攻击者即便盗取了管理员帐号和密码,也无法轻易的登陆企业服务器。文章转自网络信科技,侵删往期精彩一份老网工珍藏多年的网络配置笔记
2023-12-04
一波网络安全名词解释~
2023-12-01
大厂裁员风波,好戏上演!
2023-11-29
信安考 证需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【网络技术交流圈】知识星球1年!发布于 2023-12-05 08:45・IP 属地北京勒索病毒赞同添加评论分享喜欢收藏申请
保护电脑免遭勒索软件攻击 - Microsoft 支持
保护电脑免遭勒索软件攻击 - Microsoft 支持
跳转至主内容
Microsoft
支持
支持
支持
主页
Microsoft 365
Office
产品
Microsoft 365
Outlook
Microsoft Teams
OneDrive
OneNote
Windows
Microsoft Edge
更多信息 ...
设备
Surface
电脑配件
移动体验
Xbox
PC 游戏
HoloLens
硬件保修
帐户和计费
帐户
Microsoft Store 和计费
资源
新增功能
社区论坛
Microsoft 365 管理员
小型企业门户
开发人员
教育
上报支持欺诈
更多
购买 Microsoft 365
所有 Microsoft
Global
Microsoft 365
Teams
Windows
Surface
Xbox
折扣专区
企业购
支持
软件
软件
Windows 应用
AI
OneDrive
Outlook
Skype
OneNote
Microsoft Teams
PC 和设备
PC 和设备
购买 Xbox
PC 和平板电脑
配件
娱乐
娱乐
Xbox 与游戏
PC 游戏
企业
企业
Microsoft Cloud
Microsoft 安全
Azure
Dynamics 365
Microsoft 365 商业版
Microsoft 行业
Microsoft Power Platform
开发人员与 IT
开发人员与 IT
开发人员中心
文档
Microsoft Learn
Microsoft 技术社区
Azure 市场
AppSource
Visual Studio
其他
其他
免费下载与安全性
教育
查看站点地图
搜索
搜索帮助
无结果
取消
登录
使用 Microsoft 登录
登录或创建帐户。
你好,
使用其他帐户。
你有多个帐户
选择要登录的帐户。
保护电脑免遭勒索软件攻击
Security Windows 7 Windows 8.1 Windows 10 更多...更少
勒索软件是一种加密你的文件或让你无法使用计算机的恶意软件,你必须付钱(赎金)才能解锁文件和计算机。 如果你的计算机已连接到网络,勒索软件还可能传播到网络上的其他计算机或存储设备。
可能受到勒索软件感染的一些途径包括:
访问不安全、可疑或虚假网站。
打开你意外收到或从不认识的人那里收到的文件附件。
在电子邮件、Facebook、Twitter以及其它社交媒体的贴文或即时信息聊天或短信聊天中打开恶意链接。
你通常可以辨别出虚假电子邮件和网页,因为它们存在拼写错误或看起来异常。 留意奇怪的公司名称拼写(例如“PayePal”,而不是“PayPal”)或异常空格、符号或标点(例如“iTunesCustomer Service”,而不是“iTunes Customer Service”)。
勒索软件可以任何电脑为目标 - 无论是家庭电脑、连入企业网络的电脑,或是政府机关使用的服务器上的电脑。
警告: 移动设备也可能受到勒索软件感染! 了解如何保护设备
如何帮助保护我的电脑安全?
确保你的电脑更新了最新版本的 Windows 和所有最新修补程序。 了解有关 Windows 更新的更多信息。
确保打开Windows 安全中心帮助你免受病毒和恶意软件的骚扰(或在 Windows 10 之前版本的系统中打开 Windows Defender Security Center)。
在 Windows 10 或 11 中,打开 “受控文件夹访问权限” 以保护重要本地文件夹免遭勒索软件或其他恶意软件等未授权程序的攻击。
使用一个安全、现代的浏览器,例如 Microsoft Edge。
定期重新启动计算机;至少每周一次。 这可以帮助确保应用程序和操作系统保持最新的,并有助于系统更好地运行。
注意: 如果你是一名小型企业所有者,考虑使用 Microsoft 365 商业高级版。 它包括 Microsoft Defender 高级威胁防护,有助于保护你的企业免遭在线威胁。详细了解 Microsoft 365 商业高级版安全中心
如果怀疑你的电脑已受到勒索软件感染
无论何时,如果你怀疑自己的电脑可能被感染,使用反恶意软件程序,比如 Windows 安全中心。 例如,如果你在新闻中看到了新的恶意软件或你发现你的电脑运行不正常。 请参阅 Windows 安全中心中的病毒和威胁防护了解如何扫描设备。
如果你的电脑确实已受到勒索软件感染
不幸的是,感染勒索软件通常不会显示出来,知道你看到某种通知、一个窗口、一个应用或一个全凭消息,要求你付钱来重新访问你的电脑或文件。 这些消息通常在加密你的文件后显示。
尝试用Windows Security彻底清理你的电脑。 在尝试恢复你的文件之前,应执行此操作。 另请参阅 备份 Windows 电脑,获取有关备份和恢复 Windows 版本的文件的帮助。
不要付钱来恢复你的文件。 即使给勒索软件付费,也不能保证能重新访问你的电脑或文件。
如果你已经付费,怎么办
如果你已经给勒索软件付费,请立即联系你的银行和当地机关。 如果你使用信用卡支付,你的银行可能能够阻止交易并退还资金。
你还可以联系以下政府欺诈和诈骗报告网站:
在澳大利亚,转到 SCAMwatch网站。
在加拿大,转到加拿大反欺诈中心。
在法国,转到Agence nationale de la sécurité des systèmes d'information 网站。
在德国,转到Bundesamt für Sicherheit in der Informationstechnik 网站。
在爱尔兰,转到An Garda Síochána网站。
在新西兰,转到消费者事务诈骗网站。
在英国,转到欺诈操作网站。
在美国,转到网络防范网站。
如果你所在的地区未在此处列出,Microsoft 建议你与你所在地区的联邦警察或传播机构联系。
有关勒索软件的举例概述以及如何帮助你自我保护,请参阅关于勒索软件的 5 个 W 和 1 个 H。
如果你在公司任职,请参见 Microsoft 恶意软件防护中心获取有关 勒索软件的详细信息。
另请参阅
恶意软件如何感染你的电脑
保护自己免受网络诈骗和攻击
备份 Windows 电脑
订阅 RSS 源
需要更多帮助?
需要更多选项?
发现
社区
了解订阅权益、浏览培训课程、了解如何保护设备等。
Microsoft 365 订阅权益
Microsoft 365 培训
Microsoft 安全性
辅助功能中心
社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。
咨询 Microsoft 社区
Microsoft 技术社区
Windows 预览体验成员
Microsoft 365 预览体验
此信息是否有帮助?
是
否
谢谢!还有关于 Microsoft 的反馈吗?
你能帮助我们改进吗? (向 Microsoft 发送反馈,以便我们提供帮助。)
你对语言质量的满意程度如何?
哪些因素影响了你的体验?
解决了我的问题
指示清晰
易于理解
无行话
图片有帮助
翻译质量
与屏幕上显示的不一致
错误说明
技术性太强
信息还少
图片太少
翻译质量
是否还有其他反馈? (可选)
提交反馈
按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。
你的 IT 管理员将能够收集此数据。
隐私声明。
谢谢您的反馈!
×
新增内容
Surface Pro 9
Surface Laptop 5
Surface Studio 2+
Surface Laptop Go 2
Surface Go 3
Microsoft 365
Windows 11 应用程序
Microsoft Store
帐户个人资料
下载中心
订单跟踪
教育
Microsoft 教育版
教育设备
Microsoft Teams 教育版
Microsoft 365 教育版
Office 教育版
教育工作者培训和开发
面向学生和家长的优惠
面向学生的 Azure
企业
Microsoft Cloud
Microsoft 安全
Azure
Dynamics 365
Microsoft 365
Microsoft Advertising
Microsoft 行业
Microsoft Teams
开发人员与 IT
开发人员中心
文档
Microsoft Learn
Microsoft 技术社区
Azure 市场
AppSource
Microsoft Power Platform
Visual Studio
公司
招贤纳士
关于 Microsoft
公司新闻
Microsoft 隐私
投资人
可持续发展
中文(中国)
加利福尼亚州消费者隐私法案(CCPA)选择退出图标
你的隐私选择
加利福尼亚州消费者隐私法案(CCPA)选择退出图标
你的隐私选择
与 Microsoft 联系
隐私
管理 Cookie
使用条款
商标
关于我们的广告
京ICP备09042378号-6
© Microsoft 2024
勒索软件恢复指南:挽救您的数据 | Veeam
勒索软件恢复指南:挽救您的数据 | Veeam
#1 全球领先厂商
下载
联系我们
关闭
联系我们
联系销售人员
技术支持
登陆
菜单
产品
Veeam Data Platform
通过安全的备份和快速、可靠的恢复解决方案为混合和多云环境提供极致弹性。
立即观看
免费试用
面向混合云和多云的
云端、虚拟和物理环境
备份和恢复
监控和分析
恢复编排
目标产品
Backup for Microsoft 365
Backup for Salesforce
Backup for Kubernetes
按业务类型划分的解决方案
大企业
小企业
服务提供商
如何购买
捆绑包和购买选项
许可
托管备份和灾难恢复服务
免费社区版
Veeam Backup & Replication CE
Veeam Microsoft 365 CE
Veeam Salesforce CE
所有免费工具
解决方案
用例
数据安全
数据恢复
数据自由
勒索软件备份和恢复
混合云
行业
金融服务和保险
医疗
教育
业务类型
大企业
小企业
服务提供商
托管服务
BaaS 和 DRaaS
灾难恢复即服务
BaaS for Microsoft 365
BaaS for Public Cloud
托管和异地备份
环境
云
AWS
Azure
Kubernetes
虚拟
VMware
Hyper-V
Nutanix AHV
RHV
物理
Windows
Linux
MacOS
Unix
NAS
应用
Microsoft
Oracle
SAP Hana
PostgreSQL
SaaS
Microsoft 365
Salesforce
联盟技术
查看所有 Veeam 联盟合作伙伴
AWS
Cisco
HPE
Lenovo
Microsoft
VMware
联盟合作伙伴集成和资格认证
支持
获取支持
支持
创建问题工单
跟踪问题工单
支持策略
续约中心
续约
服务
Veeam客户成功支持
培训与教育
Veeam University
课程和认证
支持资源
技术文档
知识库
社区
社区资源中心
社区专家
技术论坛
下载
所有产品下载
资源
资源库
白皮书
解决方案简介
分析报告
查看所有资源
博客
Veeam 博客
活动和网络研讨会
VeeamON
活动
即将举行的网络研讨会
点播网络研讨会
客户案例
查看所有案例
产品演示
即将推出的产品演示
按需获取产品演示
Cyber Resiliency
合作伙伴
成为Veeam合作伙伴的益处
成为合作伙伴
增值经销商
服务提供商
全球系统集成商
技术联盟
查找合作伙伴
查找合作伙伴
合作伙伴资源
ProPartner 门户
企业
公司
关于我们
领导团队
联系信息
加入我们
搜索工作
Veeam 精彩生活
资讯与媒体
新闻稿
奖项
新闻资料
Trust Center
Trust Center
关闭
菜单
产品
产品
Veeam Data Platform
通过安全的备份和快速、可靠的恢复解决方案为混合和多云环境提供数据弹性。
面向混合云和多云的
云端、虚拟和物理环境
备份和恢复
监控和分析
恢复编排
目标产品
Backup for Microsoft 365
Backup for Salesforce
Backup for Kubernetes
按业务类型划分的解决方案
大企业
小企业
服务提供商
如何购买
捆绑包和购买选项
许可
托管备份和灾难恢复服务
免费社区版
Veeam Backup & Replication CE
Veeam Microsoft 365 CE
Veeam Salesforce CE
所有免费工具
解决方案
解决方案
用例
数据安全
数据恢复
数据自由
勒索软件备份和恢复
混合云
行业
金融服务和保险
医疗
教育
业务类型
大企业
小企业
服务提供商
托管服务
BaaS 和 DRaaS
灾难恢复即服务
BaaS for Microsoft 365
BaaS for Public Cloud
托管和异地备份
环境
云
AWS
Azure
Kubernetes
虚拟
VMware
Hyper-V
Nutanix AHV
RHV
物理
Windows
Linux
MacOS
Unix
NAS
应用
Microsoft
Oracle
SAP Hana
PostgreSQL
SaaS
Microsoft 365
Salesforce
联盟技术
查看所有 Veeam 联盟合作伙伴
AWS
Cisco
HPE
Lenovo
Microsoft
VMware
联盟合作伙伴集成和资格认证
支持
支持
获取支持
支持
创建问题工单
跟踪问题工单
支持策略
续约中心
续约
服务
Veeam客户成功支持
培训与教育
Veeam University
课程和认证
支持资源
技术文档
知识库
社区
社区资源中心
社区专家
技术论坛
下载
所有产品下载
资源
资源
资源库
白皮书
解决方案简介
分析报告
查看所有资源
博客
Veeam 博客
活动和网络研讨会
VeeamON
活动
即将举行的网络研讨会
点播网络研讨会
客户案例
查看所有案例
产品演示
即将推出的产品演示
按需获取产品演示
Cyber Resiliency
合作伙伴
合作伙伴
成为Veeam合作伙伴的益处
成为合作伙伴
增值经销商
服务提供商
全球系统集成商
技术联盟
查找合作伙伴
查找合作伙伴
合作伙伴资源
ProPartner 门户
企业
企业
公司
关于我们
领导团队
联系信息
加入我们
搜索工作
Veeam 精彩生活
资讯与媒体
新闻稿
奖项
新闻资料
Trust Center
Trust Center
#1 全球领先厂商
下载
联系我们
关闭
联系我们
联系销售人员
技术支持
登陆
菜单
Free trial
Home
Veeam Blog
勒索软件恢复:全面的数据挽救指南
Business
|
2023年8月29日
所要時間 < 1 分
文章语言
文章语言
中文(简体)
English
Deutsch
Français
Italiano
Español
Português (Brasil)
日本語
勒索软件恢复:全面的数据挽救指南
Misha Rangel
文章内容
概要
什么是勒索软件恢复?
做好勒索软件攻击防范
实施强大的网络安全措施
创建一套全面的备份策略
如何检测勒索软件事件
勒索软件攻击的应对策略
勒索软件恢复策略
从备份还原数据
探究赎金支付
利用解密工具和技术
使用勒索软件恢复服务
勒索软件恢复最佳实践
遭到勒索软件攻击后该怎么做
结语
相关内容
概要
勒索软件攻击不断加剧,在 2022 年的一项调研中,85% 的受访公司表示自己受到了影响。即便是选择支付赎金的公司,许多也未能恢复数据,有几家还遭到了第二次攻击。勒索软件可能会使公司陷入瘫痪,所以您必须实施强大的网络安全措施、全面的备份策略及稳健的事件响应计划,做好万全准备。公司应该严格把关备份完整性,并演练事件响应措施。他们必须知道如何尽快和有效地从勒索软件事件中恢复过来。
详细了解勒索软件最佳实践以及公司安全防护措施。
什么是勒索软件恢复?
当今企业面临的最大威胁之一是勒索软件。根据《2023 年数据保护趋势报告》,遭到攻击的公司比重从 2021 年的 76% 增长到 2022 年的 85%。令人震惊的是,仅 55% 的加密数据得以恢复。受影响的公司平均丢失了 45% 的数据。
现在的勒索软件种类有很多。通常,网络犯罪分子会锁定用户的设备,并加密数据以勒索巨额赎金。恐吓性软件和泄露软件 (doxware) 是另类勒索软件,常以泄露隐私信息相威胁来迫使受害者支付赎金。
勒索软件恢复是公司为减轻勒索软件攻击的影响而采取的一系列深思熟虑的行动。为防止黑客成功加密公司数据,公司需部署一个支持系统重建的不可变数据备份和配置快照系统。能否成功从勒索软件攻击中恢复取决于公司备份和数据保护流程的有效性,以及勒索软件攻击期间受影响的内容。
做好勒索软件攻击防范
勒索软件攻击风险很高,因此对它的防范是业务连续性计划的重要组成部分。攻击得逞可能会导致严重的数据丢失,致使您的业务无法继续进行。
做好勒索软件攻击防范需要制定一个全面的恢复计划。计划应经过定期审核和全面测试,并应纳入勒索软件防御最佳实践,包括强大的网络安全措施和全面的备份策略。
实施强大的网络安全措施
首先应增强网络,以防止未经授权的访问,并保护您的系统免遭黑客攻击。主要步骤包括:
保护终端。保护所有终端设备,如笔记本电脑、虚拟机 (VM)、服务器、嵌入式设备和移动设备。实施多重身份验证 (MFA),执行强密码策略并对数据进行加密。安装终端安全软件,并采用零信任安全原则。
网络安全。保护您的网络免受未经授权的访问。使用强大的防火墙来防止黑客攻击。使用虚拟专用网络 (VPN) 对网络进行分段,并将安全漏洞的影响范围降至最小。
电子邮件安全。实施高级威胁防护解决方案,以保护用户帐户。指导用户加强电子邮件安全防护并识别网络钓鱼攻击的蛛丝马迹。
修补软件。及时安装软件安全补丁,以最大限度地降低黑客利用漏洞的风险。
创建一套全面的备份策略
黑客认识到备份的重要性,并专门瞄准备份和备份服务器发起攻击。创建一套安全、全面的备份策略,并在制定您自己的备份计划时考虑以下要点。
3-2-1-1-0 原则:由最初的 3-2-1 备份计划演变而来。除了原始数据以外,它还需要三个备份。您应将备份保存在至少两种不同介质上,其中一个是异地存储副本,另一个为离线存储副本。该版本原则中的零表示您应检查备份以确认无误。
备份类型:备份策略可以包括完整备份、增量备份或差异备份。通常,每周执行完整备份,每天执行增量备份或差异备份。增量备份是单独的备份,存储自上次完整备份或增量备份以来的所有更改。差异备份略有不同,因为它备份自上次完整备份以来的所有更改。其大小随每次差异备份而增加。
异地备份和基于云的备份:至少应有一组异地备份,既可位于远程强化服务器,也可以在 Amazon S3 云对象存储等安全云设施中。
不可变备份:备份应具有不可变性。这意味着这些备份只能读取,通常在预定时间段内无法更改或删除。不可变备份增强了保护,可防范勒索软件。
如何检测勒索软件事件
尽早检测勒索软件感染至关重要,可防止勒索软件攻击全面爆发。一次勒索软件攻击分为多个阶段,包括初始入侵或感染、侦察和准备,最后是数据加密。若能检测到此类活动,便可隔离受影响的机器,并最大限度地减少攻击影响。以下三种技术可助您一臂之力:
识别勒索软件的蛛丝马迹。攻击的早期迹象通常包括异常高的 CPU 活动和硬盘上的高读写活动。
监控和分析网络异常情况。恶意活动的迹象包括网络流量异常、流量高峰、网络带宽减少和网络请求异常。
采用安全信息和事件管理 (SIEM) 解决方案:借助机器学习技术,SIEM 软件能够分析事件日志数据,以实时识别威胁和可疑活动。
勒索软件攻击的应对策略
应对勒索软件攻击应该迅速而果断,越快越好,最好能在攻击者加密您的数据之前采取行动。以下是您可以采取的五个应对步骤:
实施事件响应计划:立即启动勒索软件遏制、隔离及响应计划,并通知高级管理层和所有响应人员。
隔离和控制受感染的系统:确定哪些系统被感染,并将其与您的内部网络和互联网隔离。获取所有受感染设备的快照和系统映像。
通知相关机构和执法部门:根据您所在的司法管辖区,您必须向监管机构和 FBI或 CISA 等执法部门报告攻击事件。
联系网络安全专家外部支持团队:联系专业 IT 支持和网络安全公司(例如 Veeam),获取勒索软件应急响应支持。
评估勒索软件事件响应中的法律和道德考虑因素:确定并通知所有受影响的各方。确定数据保护和隐私法的法律后果及您的道德责任。
勒索软件恢复策略
您的恢复策略可能会受到以下多个因素的影响,包括:
恢复所需的时间
对业务的经济影响
要求支付赎金、否则公布机密数据的威胁
下面我们了解多个选项,包括使用备份、支付赎金及利用勒索软件解密工具和勒索软件服务提供商。
从备份还原数据
数据还原:从 Veeam 备份中还原数据是一个相对简单的流程。您可以选择是还原到原始服务器还是还原到虚拟机。第二个选项意味着,您可以在 IT 团队清理和重新安装服务器的同时从勒索软件攻击中快速恢复。Veeam 支持您从备份中创建复制副本,并配置在遭到勒索软件攻击时可进行故障切换的虚拟机。其他恢复选项包括快照和基于闪存的存储库。
确保数据完整性和验证:必须确保备份不受感染且仍然可用。例如,Veeam 的安全恢复功能可在还原完成之前自动对备份映像执行病毒扫描。
从不可变备份中恢复数据:您无法在不可变期更改不可变备份,这能够保护您免受勒索软件的侵害。不可变备份可显著增强抵御勒索软件攻击的免疫屏障。
探究赎金支付
受影响的公司往往很难抉择是否支付赎金,因为需要权衡支付赎金的风险和后果。尽管 FBI 不支持支付赎金,但 Veeam 的《2023 年勒索软件趋势报告》显示,80% 的受害者最终仍决定支付赎金。与勒索软件操纵者谈判的原因包括:
加密备份。您可能无法访问干净备份。该报告显示,勒索软件攻击影响了 75% 的备份存储库。
机会成本。公司停止运转会造成经济和信誉损失。总还原成本可能高于赎金。
机密数据。泄露破坏性数据和机密数据的威胁真实存在,您可能会觉得支付赎金并恢复这些数据更为安全。
但有充分的证据表明,支付赎金并不代表着事件终结。我们发现,25% 支付赎金的公司仍无法恢复其数据。此外,80% 支付赎金的公司后来又遭到了第二次勒索软件攻击。
公司应研究避免支付赎金的方案。
利用解密工具和技术
有时,解密勒索软件文件并非可望而不可即,成功解密在很大程度上取决于勒索软件的类型和是否有合适的工具。Kaspersky、Avast和 Bitdefender 都提供了解密工具来帮助破解某些类型的勒索软件。然而,一些狡猾的网络犯罪分子会使用利用了 128 位和 256 位加密工具的强加密方法。这种级别的加密几乎不可能破解。不过,专家们发现了某些形式的勒索软件的漏洞,用户可以利用这些漏洞解密其文件。
使用勒索软件恢复服务
若要解密您的文件,最好与专业勒索软件恢复服务提供商展开紧密合作。其中有一些公司已经在这方面积累了不错的口碑,当然也有一些公司的能力还有待确认。因此,在使用这些服务之前,请先评估一下他们的专业能力。最好选择信誉良好的专业人士,他们会评估您的情况,并坦率地回答他们能否帮助您恢复数据。优秀的服务提供商一般在全球拥有多个研究实验室。话虽如此,这些服务都比较昂贵,而且仍然无法保证为您恢复数据。
勒索软件恢复最佳实践
尽管陷阱重重,但您仍可从勒索软件攻击中恢复过来。以下四种勒索软件恢复最佳实践能够决定成败。
测试和验证备份:有用的备份才是好备份。定期运行验证测试,以检查是否存在损坏、病毒或恶意软件。将备份挂载至虚拟机,并确保其正常运行。
准备一份勒索软件事件响应计划:制定一份详细的事件响应计划,定义具体责任。列出您的团队在事件实际发生之前必须采取的恢复步骤。
模拟和演练勒索软件恢复:通过模拟一场勒索软件事件来检查您的计划。使用离线虚拟机防止服务中断。演练恢复流程,直到所有人都知道该如何处理。
就勒索软件防御策略对员工进行培训:指导员工识别网络钓鱼攻击和网络犯罪分子所用的其他策略。
遭到勒索软件攻击后该怎么做
在遭到攻击后,一旦成功恢复,请进行详细的事后调查,以分析攻击的整个过程。
评估勒索软件攻击的影响和程度:进行恢复后评估。了解攻击的严重程度,并根据停机时间和经济损失来评估其影响。确定黑客如何获得访问权限,以及黑客是否成功破坏了您的备份。
处理漏洞:确定并修复所有软硬件漏洞。再次对员工进行培训。
增强安全防护:增强系统并审查权限。设置额外的 VPN,以强化隔离系统。实施多重身份验证实践。
实施长期风险缓解策略:与 NIST 和 CISA 等网络安全组织合作。了解如何降低风险、增强安全防护并保护系统。
结语
勒索软件恢复是可行的。支付赎金并不明智,因为大多数支付赎金的公司仍然未能恢复其所有数据。成功恢复的关键是做好勒索软件攻击防范工作,其中包括实施强大的安全措施和制定适当的备份策略。您需要一套清晰的勒索软件响应策略和一支训练有素的团队,尽早检测勒索软件是关键。另一关键是制定具有多个不可变副本的强大备份策略。同样重要的是,必须认识到持续改进的必要性,以便您适应不断演变的威胁。
观看 2023 年勒索软件趋势系列短视频,了解有关勒索软件恢复的更多信息。这些视频具体展示了如何做好准备工作并从勒索软件攻击中快速恢复。
相关内容
2023 年勒索软件趋势报告
公司应如何应对勒索软件攻击?
从勒索软件攻击中恢复:2023 年趋势分析
Misha Rangel
Misha Rangel is Global Director of Enterprise Product Marketing at Veeam. Misha has 15+ years experience in Product Marketing and Content Marketing for growth stage companies.
More about author
上一篇博文 下一篇博文
文章内容
概要
什么是勒索软件恢复?
做好勒索软件攻击防范
实施强大的网络安全措施
创建一套全面的备份策略
如何检测勒索软件事件
勒索软件攻击的应对策略
勒索软件恢复策略
从备份还原数据
探究赎金支付
利用解密工具和技术
使用勒索软件恢复服务
勒索软件恢复最佳实践
遭到勒索软件攻击后该怎么做
结语
相关内容
文章语言
中文(简体)
English
Deutsch
Français
Italiano
Español
Português (Brasil)
日本語
Stay up to date on the latest tips and news
订阅即表示您同意 Veeam 根据隐私政策管理您的个人信息
You're all set!
Watch your inbox for our weekly blog updates.
OK
联系我们
1-800-691-1991
9am - 8pm ET
Veeam
关于
加入我们
新闻中心
联系信息
资源和支持
联系 Veeam 销售人员
续约
支持
博客
资源库
技术文档
热门链接
Veeam Data Platform
Veeam Data Cloud
Backup & Replication
Microsoft 365
Salesforce
Kubernetes
订阅即表示您同意接收有关 Veeam 产品和活动的信息,并同意 Veeam 根据隐私声明管理您的个人信息。 您可随时退订邮件通知。
更改语言
关闭
更改语言
本地化网站
English
Deutsch
Français
Italiano
Español (España)
Português (Brasil)
中文(简体)
日本語
资源页面
中文(繁體)
한국어
©2024 Veeam® Software | 隐私声明
| Cookie 声明
| EULA
勒索病毒防范措施与应急响应指南 - FreeBuf网络安全行业门户
勒索病毒防范措施与应急响应指南 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 勒索病毒防范措施与应急响应指南
关注
终端安全企业安全 勒索病毒防范措施与应急响应指南
2019-08-30 08:00:09
所属地 广东省 此前我写过一篇文章《企业中了勒索病毒该怎么办?可以解密吗?》,里面介绍了很多解密的网站,并教了大家如何快速识别企业中了哪个勒索病毒家族,以及此勒索病毒是否有解密工具,也包含一些简单的勒索病毒应急处理方法,这篇我将重点讲解一下,作为一名安全应急响应人员,该如何去处理勒索病毒,可以给客户提供哪些勒索病毒防范措施和应急响应指导等。 关于勒索病毒,很多朋友在后台留言常常会问我这两个问题: 1.企业还没有中勒索,但领导很害怕,该如何防范呢?有哪些建议和指导 2.企业已经中了勒索,该如何快速进行应急响应?有哪些建议和指导 企业应该如何做好安全防护,主要从以下几个方面入手: 1.部署可靠高质量的防火墙、安装防病毒终端安全软件,检测应用程序、拦截可疑流量,使防病毒软件保持最新,设置为高强度安全防护级别,还可以使用软件限制策略防止未经授权的应用程序运行 2.关注最新的漏洞,及时更新电脑上的终端安全软件,修复最新的漏洞 3.关闭不必要的端口,目前发现的大部分勒索病毒通过开放的RDP端口进行传播,如果业务上无需使用RDP,建议关闭RDP,以防止黑客通过RDP爆破攻击 4.培养员工的安全意识,这点非常重要,如果企业员工不重视安全,迟早会出现安全问题,安全防护的重点永远在于人,人也是最大的安全漏洞,企业需要不定期给员工进行安全教育的培训,与员工一起开展安全意识培训、检查和讨论: 1)设置高强度的密码,而且要不定期进行密码的更新,避免使用统一的密码,统一的密码会导致企业多台电脑被感染的风险,此前我就遇到过一个企业内网的密码都使用同一个的情况,导致企业内部多台电脑被勒索加密 2)企业内部应用程序的管控与设置,所有的软件都由IT部门统一从正规的网站进行下载,进行安全检测之后,然后再分发给企业内部员工,禁止员工自己从非正规的网站下载安装软件 3)企业内部使用的office等软件,要进行安全设置,禁止宏运行,避免一些恶意软件通过宏病毒的方式感染主机 4)从来历不明的网站下载的一些文档,要经过安全检测才能打开使用,切不可直接双击运行 5)谨慎打开来历不明的邮件,防止被邮件钓鱼攻击和垃圾邮件攻击,不要随便点击邮件中的不明附件或快捷方式,网站链接等,防止网页挂马,利用漏洞攻击等 6)可以不定期进行安全攻防演练,模拟攻击等,让员工了解黑客有哪些攻击手法 7)可以给员工进行勒索病毒感染实例讲解,用真实的勒索病毒样本,进行模拟感染攻击,让员工了解勒索病毒的危害 5.养成良好的备份习惯,对重要的数据和文档进行定期非本地备份,可使用移动存储设置保存关键数据,同时要定期测试保存的备份数据是否完整可用 勒索病毒的特征一般都很明显,会加密磁盘的文件,并在磁盘相应的目录生成勒索提示信息文档或弹出相应的勒索界面,如果你发现你的文档和程序无法打开,磁盘中的文件被修改,桌面壁纸被替换,提示相应的勒索信息,要求支付一定的赎金才能解密,说明你的电脑中了勒索病毒。 企业中了勒索,该如何应急,主要从以下几个方面入手: 1.隔离被感染的服务器主机 拔掉中毒主机网线,断开主机与网络的连接,关闭主机的无线网络WIFI、蓝牙连接等,并拔掉主机上的所有外部存储设备 2.确定被感染的范围 查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器,以及主机上云存储中的文件等,是否已经全部加密了 3.确定是被哪个勒索病毒家族感染的,在主机上进行溯源分析,查看日志信息等 主机被勒索病毒加密之后,会在主机上留上一些勒索提示信息,我们可以先去加密后的磁盘目录找到勒索提示信息,有些勒索提示信息上就有这款勒索病毒的标识,显示是哪一种勒索病毒,比方GandCrab的勒索提示信息,最开始都标明了是哪一个版本的GandCrab勒索病毒版本,可以先找勒索提示信息,再进行溯源分析 溯源分析一般通过查看主机上保留的日志信息,以及主机上保留的样本信息,通过日志可以判断此勒索病毒可能是通过哪种方式进来的,比方发现文件被加密前某个时间段有大量的RDP爆破日志,并成功通过远程登录过主机,然后在主机的相应目录发现了病毒样本,可能猜测这款勒索病毒可能是通过RDP进来的,如果日志被删除了,就只能去主机上找相关的病毒样本或可疑文件,通过这些可疑的文件来猜测可能是通过哪种方式进来的,比方有些是能过银行类木马下载传播的,有些是通过远控程序下载传播的,有些是通过网页挂马方式传播的,还可以去主机的浏览器历史记录中去找相关的信息等等 4.找到病毒样本,提取主机日志,进行溯源分析之后,关闭相应的端口、网络共享、打上相应的漏洞补丁,修改主机密码,安装高强度防火墙,防病毒软件等措施,防止被二次感染勒索 5.进行数据和业务的恢复,如果主机上的数据存在备份,则可以还原备份数据,恢复业务,如果主机上的数据没有备份,可以在确定是哪种勒索病毒家族之后,查找相应的解密工具,解密工具网站可以看我上一篇文章中提到的,事实上现在大部分流行勒索病毒并没有解密工具,如果数据比较重要,业务又急需恢复,可以考虑使用下面方式尝试恢复数据和业务: 1)可以通过一些磁盘数据恢复手段,恢复被删除的文件 2)可以跟一些第三方解密中介或直接通过邮件的方式联系黑客进行协商解密(但不推荐),可能就是因为现在交钱解密的企业越来越多,导致勒索病毒家族变种越来越多,攻击越来越频繁,还有很多企业中了勒索病毒暗地里就交钱解密了 现在很多勒索病毒都使用邮件或解密网站,要求受害者通过这些网站进行解密操作,而且都是使用BTC进行交易,而且功能非常完善,下面我们就来分析一下最近很流行的Sodinokibi勒索病毒的解密网站,如下所示: 网站的主机提示你被加密了,需要支持0.24790254的BTC(=2500美元),如果超过了时间限制,则可能需要支付0.49580508的BTC(=5000美元) 黑客还担心受害者不知道BTC是啥,事实上国内有些企业中了勒索,想交赎金,但不知道BTC从哪里来,于时黑客就给出了详细的步骤教受害者如何进行解密,以及如果购买BTC操作等,如下所示: 黑客还建议了受害者通过https://www.blockchain.com/explorer这个网站注册BTC钱包,然后购买相应的BTC,再将BTC转入黑客的BTC钱包帐户,同时黑客还提示了使用多种方式可以购买BTC的链接,如下所示: 还贴出来了相应的链接,指导受害者如何购买BTC的详细教程等等,如下所示: 同时黑客还怕受害者不相信可以解密,可以帮受害者免费解密几个文件,但不包含大的数据文件,只能是10MB以下的,如下所示: BTC注册网站: https://www.blockchain.com BTC购买链接: https://www.coinmama.com/ https://www.korbit.co.kr/ https://www.coinfloor.co.uk/ https://coinfinity.co/ https://www.bitpanda.com/en https://btcdirect.eu/ https://www.paymium.com/ https://bity.com/ https://www.coincorner.com/ https://www.happycoins.com https://www.bitfinex.com/ https://poloniex.com/ https://cex.io/ https://www.huobi.com/ https://bittylicious.com/ https://coincafe.com/ https://www.coinhouse.com https://safello.com/ https://localbitcoins.com/ https://www.virwox.com/ https://www.bitquick.co/ https://wallofcoins.com https://libertyx.com https://bitit.io/ https://coinatmradar.com/ BTC如何购买: https://howtobuybitcoins.info/ https://bittybot.co/eu/ https://www.buybitcoinworldwide.com/ http://bitcoin-net.com/ 黑客还开通了聊天窗口,可以跟黑客进行沟通协商,讨价还价等等,如下所示: 从上面可以看出黑客为了让受害者能交付赎金,做了一个专门的网站进行指导,可以看出这款勒索病毒背后一定是有一支强大的运营团队 最后友善提醒: 不建议企业向黑客支付BTC,也不建议企业找第三方中介解密,因为这样会促长这个行业的不断增加,现在大部分勒索病毒无法解密,请各企业做好相应的防范措施,按上面的一些指导方法和建议进行勒索病毒的防御,勒索病毒的重点在于防御! *本文作者:熊猫正正,转载须注明来自FreeBuf.COM 本文作者:,
转载请注明来自FreeBuf.COM # 应急响应 # 勒索病毒 # 防范
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备