​【收藏】感染勒索病毒处置办法

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
日志服务 SLS,月写入数据量 50GB 1个月
简介: ​【收藏】感染勒索病毒处置办法

一、勒索病毒介绍

百度百科给勒索病毒的定义是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。众所周知,在windows系统中是可以对文件夹进行加锁的,需要输入指定的密码方可显示文件夹里的内容,勒索病毒的原理与此类似,通过特定的加密算法对文件进行加密,通常情况下很难自行破解,需要拿到解密的私钥才可进行解密。


二、勒索病毒原理

说到勒索病毒首先得说一下什么是公钥和私钥,公钥和私钥是通过一种算法得到的一个密钥对,对外公开的即为公钥,自己保留的即为私钥。公钥和私钥本质上并无区别,皆可进行加密,通过其中一种密钥进行加密则必须通过另外一种密钥进行解密。两种密钥的加密方式应用场景有所不同,公钥加密应用在我们通常理解的加解密,私钥加密应用在数字签名上,以验证身份的合法性。勒索病毒使用的就是公钥加密的手段,病毒的开发者在自己的电脑上通过算法生成公钥1和私钥1,利用病毒在目标设备上随机生成一对密钥对,公钥2和私钥2,利用目标设备上生成的公钥2加密目标数据,利用公钥1加密私钥2,当用户支付赎金后,病毒开发者提供私钥去解密得出目标设备上随机生成的私钥2,从而解密出用户的数据。

三、勒索病毒处置流程

1

设备断网

通过拔网线的方式对感染病毒的设备进行断网处置。

2

内网设备关闭高危端口

在Windows server操作系统上,可以通过IP安全策略禁用本地端口(比较复杂,功能强大,不依赖防火墙),配置步骤如下。

(1)首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。

(2)在左侧边栏中,依次选取 “计算机配置 - Windows 设置 - 安全设置 - IP安全策略,在 本地计算机”。

(3)接下来右键单击 “IP安全策略,在 本地计算机”,并选择“创建IP安全策略”,随后会跳出“IP安全策略向导”界面。

(4)在IP安全策略向导初始界面点击“下一步”,在跳转界面中,配置策略名称并进行描述,然后“下一步”。

(5)在跳转的“安全通讯请求”界面中,不必进行勾选配置,直接点击“下一步”

(6)勾选“编辑属性”,并点击“完成”。

(7)在随后跳出的防范勒索病毒属性窗口中,单击添加(需要注意的是不要勾选右下角的“使用添加向导”。)。

(8)然后在”新规则 属性”窗口中,单击左下角的“添加”,在IP筛选器列表窗口中,配置IP筛选列表名称,单击右侧的添加按钮,需要注意的是这里也不要点击右下角的”使用添加向导”。


(9)在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何IP地址”,目标地址选择“我的IP地址”。

(10)然后选择协议选项卡,选择协议类型为:TCP,设置IP协议端口为”从任意端口”“到此端口”:135,并单击确定。然后在IP筛选器列表中单击确定。

(11)重复第8、9、10步的操作,添加137、138、139、445规则。

(12)所有的IP筛选列表添加完成后,选择“筛选器操作”选项卡,单击下方的“添加”,并且不要勾选右侧的“使用添加向导”。

(13)在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡,将名称改为阻止,单击确定。

 


(14)回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止”,再切换到IP筛选器列表,勾选刚才建立的IP筛选列表“封禁445端口”,然后单击应用,再单击关闭,然后单击“确定”。

(15)重复第14步的步骤,点击添加按钮,重复勾选IP筛选列表和筛选器操作,并应用,确保生成所有的安全规则,然后点击确定。可见本地组策略编辑器中生成了一条防范勒索病毒的策略,且当前“策略已指派”状态为“否”。

(16)点击创建好的防范勒索病毒策略,右键后点击“分配”,然后“策略已指派”状态就变成了“是”,说明此策略已生效。配置全部完成。

3

网络环境排查

通过态势感知设备筛选内网SMB攻击找到内网攻击源,排查出疑似被攻击的设备,对疑似被攻击的设备重点进行杀毒。

4

利用备份恢复业务

因为勒索病毒具有潜伏性,所以不排除备份中也含有勒索病毒,需要对备份文件进行排查,确认无病毒之后再执行恢复。

5

文件解密

第四步不成功的情况下,因为数据不重要的可以选择重新部署业务,数据十分重要的可以支付赎金,也可以选择市面上一些勒索病毒文件恢复软件尝试性恢复,因为部分勒索病毒源码已经公开,当然此项操作成功率极低。

6

大规模杀毒

整个网络内设备进行杀毒,可以联系合作的安全产商提供测试EDR授权。

7

溯源

利用设备的日志记录、网络连接、进程信息、密码凭据等进行溯源,此项操作成功率不高。

8

损失挽回

如果已经购买EDR并且实施完成,可以向安全服务厂商进行一定的索赔。

四、防护手段

1

升级Samba协议

SMB 1包含易受攻击的漏洞,所以将系统升级到SMB2或者更高的版本是有效防范勒索病毒的手段。

2

流量监控

增加态势感知设备,并将流量全部镜像接入,可以对攻击事件进行实时的监控并方便后期复盘。

3

EDR

购买EDR并定时更新病毒库,目前主流的安全厂商病毒库都会一周更新一次,更新时间有所区别。

4

日志单独存储

搭建日志服务器对日志进行单独存储,日志是溯源的重要依据。

5

备份容灾

对关键业务进行容灾备份。

6

网络安全制度

建立严格的网络安全制度并执行到位,有应急方案才不会事到临头手足无措。

五、总结

勒索病毒日益猖獗,为了避免造成资产的损失,需要引起足够的重视,防患于未然。

须知晓,船到江心补漏迟。

以上仅为自己个人观点,请持有不同观点者勿喷。

相关文章
|
存储 监控 安全
勒索病毒最新变种.faust勒索病毒来袭,如何恢复受感染的数据?
在今天的数字时代,网络威胁不断进化,其中一种最令人担忧的威胁就是勒索病毒。本文将介绍.faust勒索病毒的工作原理,如何恢复被.faust勒索病毒加密的数据文件,以及如何预防这种威胁。
229 0
|
3月前
|
存储 安全 网络安全
警惕baxia勒索病毒,您需要知道的预防和恢复方法。
在数字时代,网络安全威胁日益严峻,.baxia勒索病毒以其隐蔽的传播方式和强大的加密能力,成为企业和个人数据安全的重大隐患。本文深入分析.baxia勒索病毒的工作原理、传播途径及其危害,并提出应对策略,帮助读者防范这一威胁。如遇数据加密问题,可添加技术服务号(sjhf91)获取专业数据恢复支持。
133 0
警惕baxia勒索病毒,您需要知道的预防和恢复方法。
|
存储 监控 安全
360勒索病毒的最新威胁:如何恢复您的数据?
在数字化时代,勒索病毒已成为数码世界的威胁魔头,而其中的360勒索病毒更是狡猾至极,给用户带来巨大困扰。然而,面对这个顽敌,我们不能束手待毙。本文91数据恢复将全面解析360勒索病毒的特点和传播途径,探索数据恢复的多种方法,并提供一揽子预防措施,助您在保护数据的战斗中胜出!
360勒索病毒的最新威胁:如何恢复您的数据?
|
6月前
|
安全 网络安全 区块链
抵御.360勒索病毒威胁:解密文件的有效方法与预防措施
近来,网络犯罪的一种新型形式——.360勒索病毒,备受关注。这种病毒通过加密用户文件,要求支付赎金以获取解密密钥。本文91数据恢复将深入介绍.360勒索病毒的特点,同时提供一些有效的恢复方法,并分享一些建议以预防未来的感染。
91 3
抵御.360勒索病毒威胁:解密文件的有效方法与预防措施
|
安全 网络安全 数据安全/隐私保护
警惕Mallox勒索病毒的最新变种mallox,您需要知道的预防和恢复方法。
在这个数字时代,恶意软件不再是仅限于技术领域的威胁,而是每个人都可能面临的潜在风险。其中,.mallox勒索病毒崭露头角,它不仅能够以不可思议的方式加密您的数据,还能要求您支付赎金以获取解密密钥。本文将深入探讨.mallox勒索病毒,如何解锁被其加密的数据,以及我们应该如何未雨绸缪,以免受到未来威胁的影响
445 1
警惕Mallox勒索病毒的最新变种mallox,您需要知道的预防和恢复方法。
|
11月前
|
安全 网络安全 数据库
勒索病毒最新变种.mkp勒索病毒来袭,如何恢复受感染的数据?
随着网络技术的不断发展,勒索病毒已经成为数字时代的威胁之一,而MKP勒索病毒正是其中之一。本文将深入介绍MKP勒索病毒的特点,讨论恢复被加密数据的方法,并提供预防措施,以帮助用户和组织更好地保护自己的数据安全。
|
安全 网络安全 区块链
警惕.faust勒索病毒的最新变种.faust,您需要知道的预防和恢复方法。
在数字化的时代,数据被视为黄金。然而,这个黄金宝库也吸引了数字强盗,.faust勒索病毒便是其中之一。本文将深入探讨.faust勒索病毒的独特特点、如何挣脱其数字锁链,以及如何建立一道坚不可摧的数据防线。
279 1
|
存储 安全 网络安全
.360勒索病毒解密方法|勒索病毒解决|勒索病毒恢复|数据库修复
近年来,随着互联网的普及和信息技术的快速发展,网络安全问题日益严峻。其中,勒索病毒成为网络安全领域的一大威胁。本文91数据恢复将重点介绍一种名为“.360勒索病毒”的恶意软件,并探讨被该病毒加密的数据文件如何进行恢复。
.360勒索病毒解密方法|勒索病毒解决|勒索病毒恢复|数据库修复
|
存储 安全 网络安全
警惕.Elbie勒索病毒,您需要知道的预防和恢复方法。
近年来,网络安全威胁不断增加,其中勒索软件作为一种具有破坏性的恶意软件类型,给个人用户和企业带来了严重的数据安全问题。.Elbie勒索病毒(Elbie Ransomware)是其中的一种变种,它能够对计算机中的数据文件进行加密,并以获取赎金为目的。本文91数据恢复将深入探讨.Elbie勒索病毒的特点、传播途径,并提供一些可能的数据恢复方法
404 0
|
监控 安全 程序员
勒索病毒不算啥,这种计算机病毒一直在受国家监控!
计算机病毒的历史可以划分为三个时代:DOS时代、PC时代和互联网时代。
698 0
勒索病毒不算啥,这种计算机病毒一直在受国家监控!