服务器中了勒索病毒有人遇到吗
中了那就没办法了,等Key 被破解或者交钱吧,可以告诉你怎么防范
勒索病毒导致人心惶惶,医院,加油站,学校,公安系统相继中招,而且中招的不是核心服务器,都是终端设备,看来人们的安全目标也还转移下了,不加油可以接受,手术都能取消就太戏剧性了,也好,国人可以提高安全意识了。首先杀毒软件可以有效的防护,但是像国外发达国家杀毒软件不是很强,还不照样中招?备份才是数据安全的最后一道防线,还要是离线备份,传统的可以整个百度云,备份下文件,系统被破坏在重新捣腾一次,起码损失减少了,但是个人建议可以采用像ghost或者更强的trueimage进行镜像级的保护,当然数据备份到哪里也很讲究,备份到本地照样被加密,trueimage有安全区的概念,就是在本地磁盘上创建另外一个专有格式的文件系统,任何病毒都访问不了,而用户可以进行数据备份和恢复,方便快捷还安全,终端设备首选。
亲自测试了一遍效果不错,安全区里的备份文件没有被加密
勒索病毒的解决如下:
1、及时止损(拔网线)。
能拔网线的直接拔网线,物理隔离,防止出现「机传机」的现象。如果是云环境,没法拔网线,赶紧修改安全组策略,总之,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通讯,防止内网感染。
改密码!如果被勒索的机器和未被勒索的机器存在相同的登陆口令(相同的密码),及时修改未感染机器的登陆口令。
保护好案发现场,不要重启!不要破坏被勒索的机器环境,保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致系统完全崩溃,严重影响后续动作。
关端口及时关闭未感染机器远程桌面/共享端口(如:22/135/139/445/3389/3306/1521)对未感染的重要机器进行隔离备份,备份后及时物理隔离开备份数据,如:硬盘或者 u 盘备份后需要及时拔掉。
不要联系黑客,在不了解勒索病毒的情况下,建议不要直接联系黑客(容易钱财两空)。
2、确定影响范围。
止损之后,逐一排查感染规模及环境(是 OA 还是服务器/一共中了多少台),可通过网络区域划分,防火墙设备、流量检测设备辅助快速确认影响范围。
3、病毒提取和网络恢复。
取证,通过对被勒索机器进行取证提取病毒样本,或结合终端防病毒软件,对影响区域内或可疑区域进行逐台确认,是否有遗留的病毒样本,确保所有机器上的病毒样本均已查杀;恢复网络制定网络恢复计划,优先对非重要区域的终端进行网络恢复,恢复过程中需通过流量检测设备进行实时监测,确保恢复后不会出现横移情况;直至全部网络恢复。
4、数据恢复和解密。
目前绝大多数勒索病毒均无法解密(在没有拿到解密密钥的情况下),通常有如下几种选择:如有数据备份,则可以直接通过数据备份进行恢复;放弃数据恢复;联系勒索者缴纳赎金,但是不建议自己联系,最好是专业的服务商协助,他们比较知道怎么跟勒索者谈判。
5、溯源分析。
溯源分析的目的,并不是是查到勒索者是谁,而是找到勒索入侵的源头(从哪台机器上进来的),即 0 号主机,然后进行相应的安全加固,以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征,可以判断勒索病毒家族;
对于内部攻击路径溯源,需依托于网络、安全设备日志以及感染/关联终端日志记录,包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注:因为很多勒索病毒存在反侦察手段,终端环境可能会被清理,如果没有流量监控等相关设备,溯源难度会非常大。
6、安全加固。
修复内网中高危漏洞,确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口,如:445、3389等。对重要系统进行异地物理备份,确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域,各个区域之间使用严格的ACL,避免攻击者大范围横向移动扩散。
勒索病毒防范措施:最常用的方法就是给操作系统打补丁,部署杀毒软件,部署防火墙,做数据备份。对于已知病毒,效果非常明显,基本上可以起到立竿见影的效果;但对于未知病毒,这些传统方法就显得有些力不从心,不知道勒索病毒还会趁哪个漏洞渗透进来。
具体防范措施:
1、数据备份和恢复:可靠的数据备份可以将勒索软件带来的损失最小化,但同时也要对这些数据备份进行安全防护,避免被感染和损坏。
2、小心使用不明来源的文件,陌生邮件及附件也需谨慎打开。
3、安装安全防护软件并保持防护开启状态。
4、及时安装Windows漏洞补丁!
5、同时,也请确保一些常用的软件保持最新版本,特别是Java,Flash和Adobe Reader等程序,其旧版本经常包含可被恶意软件作者或传播者利用的安全漏洞。
6、为电脑设置较强的密码:尤其是开启远程桌面的电脑。并且不要在多个站点重复使用相同的密码。
7、安全意识培训:对员工和广大计算机用户进行持续的安全教育培训是十分必要的,应当让用户了解勒索软件的传播方式,如社交媒体、社会工程学、不可信网站、不可信下载源、垃圾邮件和钓鱼邮件等。通过案例教育使用户具备一定的风险识别能力和意识。
防勒索病毒,主机加固 ,服务器安全管理,业务系统防病毒,服务器防入侵,服务器数据防篡改,网页防篡改,服务器数据安全,工控系统主机安全,Java程序加密,Java程序防破。
NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播
时间:2019-09-06 14:59:41 来源:游侠安全网
概 况
近日,美创安全实验室发现了一种全新的勒索病毒,根据它给被加密文件额外附加的文件后缀名,它被命名为“NEMTY”。这是该类型的勒索软件的第一个版本,目前,尚不清楚NEMTY具体是通过何种渠道传播的,但从一个可靠的消息来源获悉,攻击者是通过受损的远程桌面连接(RDP)来传播该病毒的。
病毒情况
美创安全实验室第一时间拿到相关病毒样本,经 virustotal 检测,确认为 NEMTY勒索病毒。NEMTY在执行加密时,使用RSA+salsa20算法加密电脑上的重要文件。加密后,影响用户关键业务运行,且暂时无法解密。
经过分析发现,此新型勒索病毒似乎融合了之前GandCrab和Sodinokibi两款勒索病毒的一些特点,但此勒索病毒代码结构与此前两款勒索病毒都不相同。至于该勒索病毒后期会不会流行爆发,需要持续跟踪观察,请各企业做好相应的防范措施,勒索病毒的重点在于防御。
详细信息
NEMTY勒索病毒和大多数勒索病毒一样,会删除其处理的文件的卷影副本,从而使受害者无法通过windows创建的备份来恢复数据。
如果不幸中招,则存储在计算机上的所有文件都被加密。受害者将能够看到如下图所示的一张赎金票据,提示受害者如何缴纳赎金获取解密工具。
该勒索病毒要求了009981 BTC的赎金,按照目前的行情,大约价值1000美元。为了保持匿名性,支付网站被托管在Tor网络上,攻击者还“贴心”地在赎金票据中给出了Tor浏览器客户端的下载地址。除此之外,攻击者还提供了另一个带有聊天功能的网页的链接,以便指导受害者如何进行付款操作。
防护措施
美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:
(1)及时给电脑打补丁,修复漏洞。
(2)对重要的数据文件定期进行非本地备份。
(3)不要点击来源不明的邮件附件,不从不明网站下载软件。
(4)RDP远程服务器等连接尽量使用高强度且无规律的密码,不要使用弱密码。
(5)尽量关闭不必要的文件共享。
(6)尽量关闭不必要的端口。
以上为防护勒索病毒的常规方式,为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品诺亚防勒索系统。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档如想保护数据库文件可通过添加策略一键保护。
无诺亚防勒索防护的情况下:
在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加了nemty后缀,并且无法正常打开。
开启诺亚防勒索的情况下:
双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。
推荐内容
windows7今日正式停止支持 腾讯安全启动守护计划
windows7今日正式停止支持 腾讯安全启动守护计划
2020-01-14
硅谷Epstein事件发酵 比尔盖茨等千亿富豪难脱干系
硅谷Epstein事件发酵 比尔盖茨等千亿富豪难脱干系
2020-01-14
苹果高管:会扫描上传到iCloud的照片 防止违法内容
苹果高管:会扫描上传到iCloud的照片 防止违法内容
2020-01-10
使用WebAssembly的网站 将其有一半是用于恶意目的
使用WebAssembly的网站 将其有一半是用于恶意目的
2020-01-09
Android漏洞曝光 导致黑客能利用设备的NFC功能
Android漏洞曝光 导致黑客能利用设备的NFC功能
2019-11-06
安恒信息上市上交所 今年营收增长率超过50%
安恒信息上市上交所 今年营收增长率超过50%
2019-11-05
格鲁吉亚遭遇大规模网络攻击 被袭击的网页被替换为前总统的照片
格鲁吉亚遭遇大规模网络攻击 被袭击的网页被替换为前总统的照片
2019-11-01
我国《密码法》表决通过 采用特定变换的方法对加密保护信息
我国《密码法》表决通过 采用特定变换的方法对加密保护信息
2019-10-31
HIS未能阻止黑客通过机器人监视住客 可使用面部识别技术解锁
HIS未能阻止黑客通过机器人监视住客 可使用面部识别技术解锁
2019-10-30
安华金和数据库安全系统与华为GaussDB完成兼容性测试 取得华为COMPATIBLE证书及徽标使用权
安华金和数据库安全系统与华为GaussDB完成兼容性测试 取得华为COMPATIBLE证书及徽标使用权
2019-10-29
sodinokibi勒索病毒攻击中韩企业 可伪装成表格文件
sodinokibi勒索病毒攻击中韩企业 可伪装成表格文件
2019-10-28
SRLabs找到Google和Amazon扬声器的漏洞 可进行网络钓鱼和窃听用户
SRLabs找到Google和Amazon扬声器的漏洞 可进行网络钓鱼和窃听用户
2019-10-25
趋势科技反威胁工具包存在漏洞 启动安全扫描就会执行恶意软件
趋势科技反威胁工具包存在漏洞 启动安全扫描就会执行恶意软件
2019-10-24
NSA将建立新的网络安全部门 主要负责外国情报和网络防御
NSA将建立新的网络安全部门 主要负责外国情报和网络防御
2019-10-23
SIMP-SRD能有效的梳理公民信息 可排查数据的安全风险
SIMP-SRD能有效的梳理公民信息 可排查数据的安全风险
2019-10-22
奇安信将品牌LOGO升级为虎符 强化攻防兼备的安全思想
奇安信将品牌LOGO升级为虎符 强化攻防兼备的安全思想
2019-10-21
HildaCrypt免费释放密钥 可帮助获得恶意加密文件的访问权限
HildaCrypt免费释放密钥 可帮助获得恶意加密文件的访问权限
2019-10-18
微软发现多个安全漏洞 涉及Microsoft Windows/Jet 数据库等
微软发现多个安全漏洞 涉及Microsoft Windows/Jet 数据库等
2019-10-17
亚信安全XDR全景发布 包含实现跨越多层联动的端点
亚信安全XDR全景发布 包含实现跨越多层联动的端点
2019-10-16
TeamViewer被爆出安全事件 用户的账号密码遭到泄露
TeamViewer被爆出安全事件 用户的账号密码遭到泄露
2019-10-15
iTerm 2漏洞已存在7年 可让攻击者在电脑执行命令
iTerm 2漏洞已存在7年 可让攻击者在电脑执行命令
2019-10-14
火狐浏览器发布6902版修复更新 文件下载变成0KB
火狐浏览器发布6902版修复更新 文件下载变成0KB
2019-10-12
谷歌修复Android的26个漏洞 包含使用Media文件获得提权的漏洞
谷歌修复Android的26个漏洞 包含使用Media文件获得提权的漏洞
2019-10-10
微软出现桌面搜索异常和虚拟机问题 搜索可能空白和虚拟机无法打开
微软出现桌面搜索异常和虚拟机问题 搜索可能空白和虚拟机无法打开
2019-10-09
安华金和曝光YOUR_LAST_CHANCE勒索病毒 可修改文件后缀导致数据库无法打开
安华金和曝光YOUR_LAST_CHANCE勒索病毒 可修改文件后缀导致数据库无法打开
2019-09-30
Forcepoint ***客户端发现提权漏洞 可执行未签名的可执行文件
Forcepoint ***客户端发现提权漏洞 可执行未签名的可执行文件
2019-09-29
Emotet被重新唤醒 使用恶意的Word文档模板
Emotet被重新唤醒 使用恶意的Word文档模板
2019-09-25
SOHO路由器和NAS设备被发现125个漏洞 可能获得shell或进入管理面板
SOHO路由器和NAS设备被发现125个漏洞 可能获得shell或进入管理面板
2019-09-24
SIM卡漏洞曝光 只要发送短信即可检索个人信息
SIM卡漏洞曝光 只要发送短信即可检索个人信息
2019-09-23
德国电子制造商发现两个新漏洞 黑客将能远程编辑和访问设备内容
德国电子制造商发现两个新漏洞 黑客将能远程编辑和访问设备内容
2019-09-19
Chrome将完善隐私沙盒 帮助向目标客户推广告
Chrome将完善隐私沙盒 帮助向目标客户推广告
2019-09-17
计算机病毒中心发布治理违法APP举措 检测出8000余款恶意样本
计算机病毒中心发布治理违法APP举措 检测出8000余款恶意样本
2019-09-16
Ouroboros勒索病毒主要通过垃圾邮件传播 加密文件会添加Lazarus扩展后缀
Ouroboros勒索病毒主要通过垃圾邮件传播 加密文件会添加Lazarus扩展后缀
2019-09-12
语音生成AI软件被利用来欺诈 Pindrop欺诈案件曾增加350%
语音生成AI软件被利用来欺诈 Pindrop欺诈案件曾增加350%
2019-09-11
UVLens的天气应用可能遭到黑客攻击 允许接收垃圾邮件
UVLens的天气应用可能遭到黑客攻击 允许接收垃圾邮件
2019-09-10
美创科技与达梦合作 为企业用户筑建数据安全防线
美创科技与达梦合作 为企业用户筑建数据安全防线
2019-09-09
NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播
NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播
2019-09-06
网吧电脑主机被植入挖矿程序 远程控制获得过亿元
网吧电脑主机被植入挖矿程序 远程控制获得过亿元
2019-09-04
WS-Discovery协议被滥用于发起DDoS攻击 通过SOAP传递消息
WS-Discovery协议被滥用于发起DDoS攻击 通过SOAP传递消息
2019-09-02
RubyGems移除Ruby的18个恶意版本 可启动加密货币挖掘程序
RubyGems移除Ruby的18个恶意版本 可启动加密货币挖掘程序
2019-08-30
从Equation窃取的工具包可发起攻击 可被利用来释放加密货币挖矿机
从Equation窃取的工具包可发起攻击 可被利用来释放加密货币挖矿机
2019-08-29
开源Android间谍软件窃取信息首次被发现 每次发布都有超100人安装
开源Android间谍软件窃取信息首次被发现 每次发布都有超100人安装
2019-08-28
Web主机托管商重置客户密码 称黑客登录API引发安全事件
Web主机托管商重置客户密码 称黑客登录API引发安全事件
2019-08-27
网络钓鱼活动瞄准Instagram用户 可伪装成安全机制窃取用户信息
网络钓鱼活动瞄准Instagram用户 可伪装成安全机制窃取用户信息
2019-08-26
Ryuk勒索病毒已流入国内 会加密计算机文件
Ryuk勒索病毒已流入国内 会加密计算机文件
2019-08-23
Fortinet公布最新云安全战略 实现自动化编排/管理/响应
Fortinet公布最新云安全战略 实现自动化编排/管理/响应
2019-08-22
以色列将与360成立网络安全创新中心 帮助以色列公司进入中国
以色列将与360成立网络安全创新中心 帮助以色列公司进入中国
2019-08-21
美军F-15战机系统被轻易入侵 可能关闭飞机信息下载站
美军F-15战机系统被轻易入侵 可能关闭飞机信息下载站
2019-08-20
CTF用于管理Windows的文本展示 可伪装成服务器发送指令
CTF用于管理Windows的文本展示 可伪装成服务器发送指令
2019-08-16
IBM发布数据泄露成本报告 过去5年成本上升12%
IBM发布数据泄露成本报告 过去5年成本上升12%
2019-08-15
WEB开发网
中了WannaCry病毒,基本文件不可能恢复,除非你给他支付相应的酬金。
如果你事先进行异机备份了DB,那么你重装服务器。重装完后按以下步骤操作:
进入控制面板==>高级安全 Windows防火墙,左侧菜单 选择“入站规则”找到Windows文件共享端口(445端口)把445端口禁用掉。
另外,生产环境不要乱点击不明链接和Application,包括动态链接库DLL。exe可执行文件等。此次的勒索病毒WannaCry的宿主在于DLL动态链接库。
您好,根据360网络安全中心表明,勒索病毒针对入侵的是455端口(主机端口)并不会影响用户的使用,只是把主机锁定,不让主机开始保存文件袋,所以如果您中了病毒,请立即关闭主机,拔掉网线,并立即向周围的维修部门抢修。
0条评论