勒索病毒简介
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模迸发以来,勒索病毒已成为对政企组织和网民直接要挟最大的一类木马病毒。近期迸发的Globelmposter、GandCrab、Crysis等勒索病毒,进犯者更是将进犯的矛头对准企业服务器,并构成产业化;并且勒索病毒的质量和数量的不断攀升,现已成为政企组织面对的最大的网络要挟之一。即使安装了杀毒软件,即使防护再强,假如企业被进犯,现已中了勒索病毒,应怎么沉稳应对?
进犯原理分析
黑客开发这种病毒并不是为了炫技(单地进犯电脑的软硬件)而是为了索财。当电脑遭到病侵略之后・电脑傍边的文作会被加密,导致无法翻开。 黑客会要求你供给300美元(2000元人民币)的比特币,才会给你供给解锁的暗码。付出的赎金一定要是比特币的原因是,这种电子货币的账户不易被追踪,更简单隐藏黑客的实在身份。
病毒的设计者特意把勃索的阐明信息翻译成了20多个国家和地区的语言版别,好让全一世界每一个中了病毒的人都能看懂付款信息,可见野心之大。并且假如中了病毒的计算机归于高性能的服务器,病毒还会在这台电脑傍边植入挖矿程序,让这台计算机成为出产比特币的东西,进犯者可谓无所不用其极,最大程度地剥削受害电脑的经济价值。电脑中了这种病毒之后,硬盘傍边的文件会被AES+RSA4096位的算法加密。遇到这种加密级別,现在一切家用电脑假如要暴力破解或许需求几十万年。所以一旦被这种病感,加密了自己电脑上的文作,白己是无论怎么没办法把文件解密的。假如是政府或者公共组织的重要文件被加密,那只能恢复备份文件。
值得注意的是,这次的病毒突击还针对了特定的人群,相似“精准投进。大全业的公共邮箱、高档餐厅的官网等等都是进犯的重点对象。起初病毒会伪装成一封标题十分吸引人的电子邮件,或者伪装成PDF、DOC这样的一般文档,假如存在缝隙的电脑翻开了这些链接或者文件,就有或许中招。
假如中招的电脑处于一个局域网傍边,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。病毒会经过像445端口这样的文件同享和网络打印机同享端口的缝隙展开进犯。
怎么判别是否中了勒索病毒
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面一般会呈现新的文本文件或网页文件,这些文件用来阐明怎么解密的信息,一起桌面上显现勒索提示信息及解密联系方式,一般提示信息英文较多,中文提示信息较少。下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示图。
2、文件后缀被篡改
文件后缀名被篡改或者工作文档、相片、视频等文件的图标变为不行翻开形式。一般来说,文件后缀名会被改成勒索病毒宗族的名称或其宗族代表标志,如:GlobeImposter宗族的后缀为.dream、.TRUE、.CHAK等;Satan宗族的后缀.satan、sicck;Crysis宗族的后缀有.ARROW、.arena等。
下面为电脑感染勒索病毒后,几种典型的文件后缀名被篡改或文件图标变为不行翻开的示意图。
服务器紧迫防范措施
1.断网处理,避免勒索病毒内网传达感染,造成更大的损失
2.查找样本和勒索相关信息,承认是哪个勒索病毒宗族的样本
3.承认完勒索病毒宗族之后,看看是否有相应的解密东西,能够进行解密
4.进行溯源分析,承认是经过哪种方式传达感染的进来的,封堵相关的安全缝隙
5.做好相应的安全防护工作,以防再次感染
6.做好数据备份工作,预防单机毛病
如若转载,请注明出处:开源字节 sourcebyte.cn/article/239…
