概述:
随着2017年永恒之蓝爆发再加上比特币等不可追踪的虚拟货币的流行,黑客打开了勒索攻击的潘多拉魔盒。近年来大量企业被黑客攻击、核心数据被窃取并加密,黑客以此索要巨额赎金。其中非常出名勒索病毒组织包括WannaCry、Phobos、NotPetya、Lockbit、Revil、Darkside、BlackCat、Conti、Mallox|Rmallox|Hmallox、Babyk等几百个黑客组织以及不计其数的个人攻击者。中毒的企业包括台积电、富士康、中国工商银行北美分公司、蔚来汽车等大型企业以及无数中小微企业。为了最大程度的减少企业被勒索病毒攻击的后的损失,我们分享勒索病毒解密宝典系列文章。(文章由苏州创展勒索病毒解密原创,创作不易如需转载请注明出处)
一、如何判断中了那种勒索病毒?
1. 文件扩展名、文件后缀
每一种黑客加密都会把文件的后缀扩展名修改。 一般不同的后缀代表不同的勒索病毒组织。例如近期比较流行的rmallox、Hmallox、baxia、bixi、locked、Devicdata、jaff、wormhole、MKP、devos、Moneyistime等。如下图所示
无论中了那种勒索病毒都可以通过文件扩展名轻易判定。
2. 黑客预留的勒索信
黑客攻击的目的是为了勒索赎金,所以每一个黑客在攻击后都会预留一封勒索信。勒索信一般为HOW TO BACK FILES.txt、!_INFO.txt、ReadMe、等格式的文本文档或者网页文档。一般在中毒的电脑桌面和任意文件夹内都能找到。如下图
二、遭遇勒索病毒后的应对步骤
1. 断开外网连接
暂时断开整个外网连接,目的是断开黑客随时连接内网的路。因为短时间你无法找到黑客具体是那条路进来的,你所作的动作黑客可能随时监控到。所以先断开外网是明智之举。
2. 确定黑客加密进程
任何黑客的加密进程运行都需要充足的时间,尤其对于加密算法复杂的黑客组织,加密时间往往很长。如果客户发现的及时,往往在客户发现时黑客的加密进程仍然在运行中。这个时候切记不要第一时间关机。因为如果黑客的加密进程在运行中,你立刻关机会导致正在被加密的文件彻底无法解密,即使是黑客本人也无法对加密不完整的文件进行解密。所以第一件事是找到黑客的进程并确定合适的结束进程的时机。如无法快速确定可联系我们获得技术支持。
3. 备份被加密数据并确定解密方案
将所需解密数据进行备份。一般采用移动硬盘或者网络拷贝至外部其他地方存储。确保最原始被加密的数据是有一份备份是后面解密的前提。因为无论通过技术破解或者购买解密工具解密,都需要保证一次性百分百成功。勒索病毒解密方案有很多种,针对不同的病毒有不同的解密方案,有些可通过技术手段破解,有些则必须支付赎金购买解密工具。在下一部分中我们将讨论解密方案。
4. 查找黑客入侵路径并切断入侵路径
黑客入侵路径一般短时间内无法找到,因为黑客在入侵后会删除系统日志隐匿自己的行踪。并且在内网留下后门或者肉鸡,便于后续继续攻击。所以在被黑客攻击之后务必要花费一些时间和精力查找黑客入侵原因。把病毒查杀并封堵漏洞是预防再次中毒的一个重要前提。若需相应技术支持可联系我们。
三、勒索病毒解密策略与技术
1. 技术破解
没有系统是安全的,也没有黑客的程序是绝对没有漏洞的。这就让我们有机会利用黑客的漏洞破解或者想方设法在不交付赎金的前提下破解黑客的加密。目前在全世界很多防病毒组织持续不断的努力下已经发布了很多免费的勒索病毒解密程序,遗憾的是这些程序大多都是针对老的勒索病毒的。我们持续不断的收集和更新了一些免费的解密程序给大家,并且后续也将持续不断更新。针对部分新款的勒索病毒我们也提供有偿的技术破解方案。
免费勒索病毒解密程序下载地址:苏州创展勒索病毒解密 | 勒索病毒解密工具---免费
2. 数据库修复
sqlserver、Oracle、Mysql等类型的数据库往往是黑客的攻击重点,因为企业核心的应用系统如ERP、财务系统、MES系统等一般都是存储在数据库中。这其中占比最多的就是sqlserver数据库。在我们处理的大量黑客攻击的案例中,这种类型的数据库被攻击的概率也最高。
幸运的是这种类型的文件往往比较大,都是按照GB计算。而黑客加密对于大文件往往很难实现全字节加密。这就为数据库修复变相实现勒索病毒解密提供了机会。如果有此类需求可联系我们获得有偿技术支持。
3. 支付赎金购买解密工具
无论针对那种勒索病毒,我们绝对不推荐向黑客支付赎金。
我们不推荐支付赎金的理由:
- 赎金成本较高,支付赎金动辄就要几千上万美金,这个费用远高于破解恢复的费用。
- 采用的比特币支付,有资金损失风险。比特币等虚拟币支付难于追踪,一旦支付出去就不可能追回来。很多黑客拿到第一笔赎金后会继续勒索。
- 部分数据被加密损坏的,即使支付赎金后拿到解密工具也无法解密。这个并非黑客本意,但是这种情况很常见,并且即使解密失败黑客根本不可能给你退款。
- 支付赎金会助纣为虐,会有更多的攻击者加入这一本万利的行业
但客观来讲,很多时候支付赎金是唯一选择。如果是必须要支付赎金给黑客,建议找专业的数据恢复公司提供技术支持。因为专业的恢复公司处理过大量的同类案件,通常拥有更丰富的解密资源和经验,可以最大程度避免客户的资金损失。如客户有类型需求可联系我们获得有偿技术支持。
四、勒索病毒防护策略
1. 加强网络安全架构。
构建多层次的防御体系,包括防火墙、入侵检测系统、端点安全解决方案等,如果没有足够的预算或者没有专业技术人员,最简单也最行之有效的方案是把核心系统变成内网,关闭不必要的端口映射。如不清楚如何操作可联系我们获得有偿技术支持。
2. 定期漏洞扫描并更新系统补丁
Windows操作系统或者是各大软件厂商都有自己的安全研究人员,一般会定时更新自己的系统漏洞。如果能及时更新漏洞补丁可有效避免黑客入侵攻击。
3. 部署防病毒软件
安装专业的杀毒软件并进行专业配置,杀毒软件一般都具备恶意行为探测,黑客的恶意行为如网络扫描,密码爆破等行为一般杀毒软件都可以探测到。在我们处理的很多客户案例中客户都安装有杀毒软件,但是仍然无法阻止黑客的。这其中有一部分是因为黑客技术手段高超但是绝大部分是因为未能对杀毒软件进行正确配置导致黑客入侵后杀毒软件失效。如需相关技术支持可联系我们获得有偿技术支持。
结语
勒索病毒解密并非易事,但通过合理的预防措施、及时的应对步骤以及专业的解密策略,我们可以大大降低其带来的风险和损失。本文作为安全专家的终极自救指南,旨在为您提供全面的指导与支持,帮助您在这场与勒索病毒的斗争中取得胜利。记住,保护数据安全永远是一项持续而重要的任务。
版权归原作者 码上解密 所有, 如有侵权,请联系我们删除。