服务器中了勒索病毒有人遇到吗

中了那就没办法了，等Key 被破解或者交钱吧，可以告诉你怎么防范

勒索病毒导致人心惶惶，医院，加油站，学校，公安系统相继中招，而且中招的不是核心服务器，都是终端设备，看来人们的安全目标也还转移下了，不加油可以接受，手术都能取消就太戏剧性了，也好，国人可以提高安全意识了。首先杀毒软件可以有效的防护，但是像国外发达国家杀毒软件不是很强，还不照样中招？备份才是数据安全的最后一道防线，还要是离线备份，传统的可以整个百度云，备份下文件，系统被破坏在重新捣腾一次，起码损失减少了，但是个人建议可以采用像ghost或者更强的trueimage进行镜像级的保护，当然数据备份到哪里也很讲究，备份到本地照样被加密，trueimage有安全区的概念，就是在本地磁盘上创建另外一个专有格式的文件系统，任何病毒都访问不了，而用户可以进行数据备份和恢复，方便快捷还安全，终端设备首选。

亲自测试了一遍效果不错，安全区里的备份文件没有被加密

勒索病毒的解决如下：

1、及时止损（拔网线）。

能拔网线的直接拔网线，物理隔离，防止出现「机传机」的现象。如果是云环境，没法拔网线，赶紧修改安全组策略，总之，将被感染的机器隔离，确保被感染的机器不能和内网其他机器通讯，防止内网感染。

改密码！如果被勒索的机器和未被勒索的机器存在相同的登陆口令（相同的密码），及时修改未感染机器的登陆口令。

保护好案发现场，不要重启！不要破坏被勒索的机器环境，保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作，最好保持原封不动，在不了解的情况下，任何动作都可能导致系统完全崩溃，严重影响后续动作。

关端口及时关闭未感染机器远程桌面/共享端口（如：22/135/139/445/3389/3306/1521）对未感染的重要机器进行隔离备份，备份后及时物理隔离开备份数据，如：硬盘或者 u 盘备份后需要及时拔掉。

不要联系黑客，在不了解勒索病毒的情况下，建议不要直接联系黑客（容易钱财两空）。

2、确定影响范围。

止损之后，逐一排查感染规模及环境（是 OA 还是服务器/一共中了多少台），可通过网络区域划分，防火墙设备、流量检测设备辅助快速确认影响范围。

3、病毒提取和网络恢复。

取证，通过对被勒索机器进行取证提取病毒样本，或结合终端防病毒软件，对影响区域内或可疑区域进行逐台确认，是否有遗留的病毒样本，确保所有机器上的病毒样本均已查杀；恢复网络制定网络恢复计划，优先对非重要区域的终端进行网络恢复，恢复过程中需通过流量检测设备进行实时监测，确保恢复后不会出现横移情况；直至全部网络恢复。

4、数据恢复和解密。

目前绝大多数勒索病毒均无法解密（在没有拿到解密密钥的情况下），通常有如下几种选择：如有数据备份，则可以直接通过数据备份进行恢复；放弃数据恢复；联系勒索者缴纳赎金，但是不建议自己联系，最好是专业的服务商协助，他们比较知道怎么跟勒索者谈判。

5、溯源分析。

溯源分析的目的，并不是是查到勒索者是谁，而是找到勒索入侵的源头（从哪台机器上进来的），即 0 号主机，然后进行相应的安全加固，以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征，可以判断勒索病毒家族；

对于内部攻击路径溯源，需依托于网络、安全设备日志以及感染/关联终端日志记录，包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注：因为很多勒索病毒存在反侦察手段，终端环境可能会被清理，如果没有流量监控等相关设备，溯源难度会非常大。

6、安全加固。

修复内网中高危漏洞，确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口，如：445、3389等。对重要系统进行异地物理备份，确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域，各个区域之间使用严格的ACL，避免攻击者大范围横向移动扩散。

勒索病毒防范措施：最常用的方法就是给操作系统打补丁，部署杀毒软件，部署防火墙，做数据备份。对于已知病毒，效果非常明显，基本上可以起到立竿见影的效果；但对于未知病毒，这些传统方法就显得有些力不从心，不知道勒索病毒还会趁哪个漏洞渗透进来。

具体防范措施：

1、数据备份和恢复：可靠的数据备份可以将勒索软件带来的损失最小化，但同时也要对这些数据备份进行安全防护，避免被感染和损坏。

2、小心使用不明来源的文件，陌生邮件及附件也需谨慎打开。

3、安装安全防护软件并保持防护开启状态。

4、及时安装Windows漏洞补丁！

5、同时，也请确保一些常用的软件保持最新版本，特别是Java，Flash和Adobe Reader等程序，其旧版本经常包含可被恶意软件作者或传播者利用的安全漏洞。

6、为电脑设置较强的密码：尤其是开启远程桌面的电脑。并且不要在多个站点重复使用相同的密码。

7、安全意识培训：对员工和广大计算机用户进行持续的安全教育培训是十分必要的，应当让用户了解勒索软件的传播方式，如社交媒体、社会工程学、不可信网站、不可信下载源、垃圾邮件和钓鱼邮件等。通过案例教育使用户具备一定的风险识别能力和意识。

防勒索病毒，主机加固 ，服务器安全管理，业务系统防病毒，服务器防入侵，服务器数据防篡改，网页防篡改，服务器数据安全，工控系统主机安全，Java程序加密，Java程序防破。

NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播

时间：2019-09-06 14:59:41 来源：游侠安全网

概 况

近日，美创安全实验室发现了一种全新的勒索病毒，根据它给被加密文件额外附加的文件后缀名，它被命名为“NEMTY”。这是该类型的勒索软件的第一个版本，目前，尚不清楚NEMTY具体是通过何种渠道传播的，但从一个可靠的消息来源获悉，攻击者是通过受损的远程桌面连接(RDP)来传播该病毒的。

病毒情况

美创安全实验室第一时间拿到相关病毒样本，经 virustotal 检测，确认为 NEMTY勒索病毒。NEMTY在执行加密时，使用RSA+salsa20算法加密电脑上的重要文件。加密后，影响用户关键业务运行，且暂时无法解密。

经过分析发现，此新型勒索病毒似乎融合了之前GandCrab和Sodinokibi两款勒索病毒的一些特点，但此勒索病毒代码结构与此前两款勒索病毒都不相同。至于该勒索病毒后期会不会流行爆发，需要持续跟踪观察，请各企业做好相应的防范措施，勒索病毒的重点在于防御。

详细信息

NEMTY勒索病毒和大多数勒索病毒一样，会删除其处理的文件的卷影副本，从而使受害者无法通过windows创建的备份来恢复数据。

如果不幸中招，则存储在计算机上的所有文件都被加密。受害者将能够看到如下图所示的一张赎金票据，提示受害者如何缴纳赎金获取解密工具。

该勒索病毒要求了009981 BTC的赎金，按照目前的行情，大约价值1000美元。为了保持匿名性，支付网站被托管在Tor网络上，攻击者还“贴心”地在赎金票据中给出了Tor浏览器客户端的下载地址。除此之外，攻击者还提供了另一个带有聊天功能的网页的链接，以便指导受害者如何进行付款操作。

防护措施

美创安全实验室再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施，以尽可能避免损失：

(1)及时给电脑打补丁，修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件，不从不明网站下载软件。

(4)RDP远程服务器等连接尽量使用高强度且无规律的密码，不要使用弱密码。

(5)尽量关闭不必要的文件共享。

(6)尽量关闭不必要的端口。

以上为防护勒索病毒的常规方式，为了更好的应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性的研究出针对勒索病毒的终端产品诺亚防勒索系统。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档如想保护数据库文件可通过添加策略一键保护。

无诺亚防勒索防护的情况下：

在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加了nemty后缀，并且无法正常打开。

开启诺亚防勒索的情况下：

双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下：

为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何未知勒索病毒的执行。

推荐内容

windows7今日正式停止支持 腾讯安全启动守护计划

windows7今日正式停止支持 腾讯安全启动守护计划

2020-01-14

硅谷Epstein事件发酵 比尔盖茨等千亿富豪难脱干系

硅谷Epstein事件发酵 比尔盖茨等千亿富豪难脱干系

2020-01-14

苹果高管：会扫描上传到iCloud的照片 防止违法内容

苹果高管：会扫描上传到iCloud的照片 防止违法内容

2020-01-10

使用WebAssembly的网站 将其有一半是用于恶意目的

使用WebAssembly的网站 将其有一半是用于恶意目的

2020-01-09

Android漏洞曝光 导致黑客能利用设备的NFC功能

Android漏洞曝光 导致黑客能利用设备的NFC功能

2019-11-06

安恒信息上市上交所 今年营收增长率超过50%

安恒信息上市上交所 今年营收增长率超过50%

2019-11-05

格鲁吉亚遭遇大规模网络攻击 被袭击的网页被替换为前总统的照片

格鲁吉亚遭遇大规模网络攻击 被袭击的网页被替换为前总统的照片

2019-11-01

我国《密码法》表决通过 采用特定变换的方法对加密保护信息

我国《密码法》表决通过 采用特定变换的方法对加密保护信息

2019-10-31

HIS未能阻止黑客通过机器人监视住客 可使用面部识别技术解锁

HIS未能阻止黑客通过机器人监视住客 可使用面部识别技术解锁

2019-10-30

安华金和数据库安全系统与华为GaussDB完成兼容性测试 取得华为COMPATIBLE证书及徽标使用权

安华金和数据库安全系统与华为GaussDB完成兼容性测试 取得华为COMPATIBLE证书及徽标使用权

2019-10-29

sodinokibi勒索病毒攻击中韩企业 可伪装成表格文件

sodinokibi勒索病毒攻击中韩企业 可伪装成表格文件

2019-10-28

SRLabs找到Google和Amazon扬声器的漏洞 可进行网络钓鱼和窃听用户

SRLabs找到Google和Amazon扬声器的漏洞 可进行网络钓鱼和窃听用户

2019-10-25

趋势科技反威胁工具包存在漏洞 启动安全扫描就会执行恶意软件

趋势科技反威胁工具包存在漏洞 启动安全扫描就会执行恶意软件

2019-10-24

NSA将建立新的网络安全部门 主要负责外国情报和网络防御

NSA将建立新的网络安全部门 主要负责外国情报和网络防御

2019-10-23

SIMP-SRD能有效的梳理公民信息 可排查数据的安全风险

SIMP-SRD能有效的梳理公民信息 可排查数据的安全风险

2019-10-22

奇安信将品牌LOGO升级为虎符 强化攻防兼备的安全思想

奇安信将品牌LOGO升级为虎符 强化攻防兼备的安全思想

2019-10-21

HildaCrypt免费释放密钥 可帮助获得恶意加密文件的访问权限

HildaCrypt免费释放密钥 可帮助获得恶意加密文件的访问权限

2019-10-18

微软发现多个安全漏洞 涉及Microsoft Windows/Jet 数据库等

微软发现多个安全漏洞 涉及Microsoft Windows/Jet 数据库等

2019-10-17

亚信安全XDR全景发布 包含实现跨越多层联动的端点

亚信安全XDR全景发布 包含实现跨越多层联动的端点

2019-10-16

TeamViewer被爆出安全事件 用户的账号密码遭到泄露

TeamViewer被爆出安全事件 用户的账号密码遭到泄露

2019-10-15

iTerm 2漏洞已存在7年 可让攻击者在电脑执行命令

iTerm 2漏洞已存在7年 可让攻击者在电脑执行命令

2019-10-14

火狐浏览器发布6902版修复更新 文件下载变成0KB

火狐浏览器发布6902版修复更新 文件下载变成0KB

2019-10-12

谷歌修复Android的26个漏洞 包含使用Media文件获得提权的漏洞

谷歌修复Android的26个漏洞 包含使用Media文件获得提权的漏洞

2019-10-10

微软出现桌面搜索异常和虚拟机问题 搜索可能空白和虚拟机无法打开

微软出现桌面搜索异常和虚拟机问题 搜索可能空白和虚拟机无法打开

2019-10-09

安华金和曝光YOUR_LAST_CHANCE勒索病毒 可修改文件后缀导致数据库无法打开

安华金和曝光YOUR_LAST_CHANCE勒索病毒 可修改文件后缀导致数据库无法打开

2019-09-30

Forcepoint ***客户端发现提权漏洞 可执行未签名的可执行文件

Forcepoint ***客户端发现提权漏洞 可执行未签名的可执行文件

2019-09-29

Emotet被重新唤醒 使用恶意的Word文档模板

Emotet被重新唤醒 使用恶意的Word文档模板

2019-09-25

SOHO路由器和NAS设备被发现125个漏洞 可能获得shell或进入管理面板

SOHO路由器和NAS设备被发现125个漏洞 可能获得shell或进入管理面板

2019-09-24

SIM卡漏洞曝光 只要发送短信即可检索个人信息

SIM卡漏洞曝光 只要发送短信即可检索个人信息

2019-09-23

德国电子制造商发现两个新漏洞 黑客将能远程编辑和访问设备内容

德国电子制造商发现两个新漏洞 黑客将能远程编辑和访问设备内容

2019-09-19

Chrome将完善隐私沙盒 帮助向目标客户推广告

Chrome将完善隐私沙盒 帮助向目标客户推广告

2019-09-17

计算机病毒中心发布治理违法APP举措 检测出8000余款恶意样本

计算机病毒中心发布治理违法APP举措 检测出8000余款恶意样本

2019-09-16

Ouroboros勒索病毒主要通过垃圾邮件传播 加密文件会添加Lazarus扩展后缀

Ouroboros勒索病毒主要通过垃圾邮件传播 加密文件会添加Lazarus扩展后缀

2019-09-12

语音生成AI软件被利用来欺诈 Pindrop欺诈案件曾增加350%

语音生成AI软件被利用来欺诈 Pindrop欺诈案件曾增加350%

2019-09-11

UVLens的天气应用可能遭到黑客攻击 允许接收垃圾邮件

UVLens的天气应用可能遭到黑客攻击 允许接收垃圾邮件

2019-09-10

美创科技与达梦合作 为企业用户筑建数据安全防线

美创科技与达梦合作 为企业用户筑建数据安全防线

2019-09-09

NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播

NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播

2019-09-06

网吧电脑主机被植入挖矿程序 远程控制获得过亿元

网吧电脑主机被植入挖矿程序 远程控制获得过亿元

2019-09-04

WS-Discovery协议被滥用于发起DDoS攻击 通过SOAP传递消息

WS-Discovery协议被滥用于发起DDoS攻击 通过SOAP传递消息

2019-09-02

RubyGems移除Ruby的18个恶意版本 可启动加密货币挖掘程序

RubyGems移除Ruby的18个恶意版本 可启动加密货币挖掘程序

2019-08-30

从Equation窃取的工具包可发起攻击 可被利用来释放加密货币挖矿机

从Equation窃取的工具包可发起攻击 可被利用来释放加密货币挖矿机

2019-08-29

开源Android间谍软件窃取信息首次被发现 每次发布都有超100人安装

开源Android间谍软件窃取信息首次被发现 每次发布都有超100人安装

2019-08-28

Web主机托管商重置客户密码 称黑客登录API引发安全事件

Web主机托管商重置客户密码 称黑客登录API引发安全事件

2019-08-27

网络钓鱼活动瞄准Instagram用户 可伪装成安全机制窃取用户信息

网络钓鱼活动瞄准Instagram用户 可伪装成安全机制窃取用户信息

2019-08-26

Ryuk勒索病毒已流入国内 会加密计算机文件

Ryuk勒索病毒已流入国内 会加密计算机文件

2019-08-23

Fortinet公布最新云安全战略 实现自动化编排/管理/响应

Fortinet公布最新云安全战略 实现自动化编排/管理/响应

2019-08-22

以色列将与360成立网络安全创新中心 帮助以色列公司进入中国

以色列将与360成立网络安全创新中心 帮助以色列公司进入中国

2019-08-21

美军F-15战机系统被轻易入侵 可能关闭飞机信息下载站

美军F-15战机系统被轻易入侵 可能关闭飞机信息下载站

2019-08-20

CTF用于管理Windows的文本展示 可伪装成服务器发送指令

CTF用于管理Windows的文本展示 可伪装成服务器发送指令

2019-08-16

IBM发布数据泄露成本报告 过去5年成本上升12%

IBM发布数据泄露成本报告 过去5年成本上升12%

2019-08-15

WEB开发网

中了WannaCry病毒，基本文件不可能恢复，除非你给他支付相应的酬金。

如果你事先进行异机备份了DB,那么你重装服务器。重装完后按以下步骤操作：

进入控制面板==>高级安全 Windows防火墙，左侧菜单 选择“入站规则”找到Windows文件共享端口（445端口）把445端口禁用掉。

另外，生产环境不要乱点击不明链接和Application，包括动态链接库DLL。exe可执行文件等。此次的勒索病毒WannaCry的宿主在于DLL动态链接库。

您好，根据360网络安全中心表明，勒索病毒针对入侵的是455端口(主机端口)并不会影响用户的使用，只是把主机锁定，不让主机开始保存文件袋，所以如果您中了病毒，请立即关闭主机，拔掉网线，并立即向周围的维修部门抢修。