1 / 17
文档名称:

实用指南——中了勒索病毒怎么办.docx

格式:docx   大小:635KB   页数:17页
下载后只包含 1 个 DOCX 格式的文档,没有任何的图纸或源代码,查看文件列表

如果您已付费下载过本站文档,您可以点这里二次下载

分享

预览

实用指南——中了勒索病毒怎么办.docx

上传人:0537网络 2021/6/12 文件大小:635 KB

下载得到文件列表

实用指南——中了勒索病毒怎么办.docx

文档介绍

文档介绍:中了***病毒怎么办---(教程贴持续更新)


原因一:面对越来越疯狂的***病毒,我不能无动于衷;
自2016年开始***病毒出现到2017年wannacry肆意传播,再到2020年WannaRen通过各大下载资源站传播。***病毒越来越疯狂了,给大家看一组数字。
原因二:网上没有专业人士写的详细的教程贴;
各大搜索引擎任意搜索下,好帖是有,但95%以上都是广告贴和水贴,甚至一些误人子弟,未经深思熟虑写的帖子。病不在他们身上,真敢随便开药,治死不偿命啊!总得有人补上这个空缺,各路大神都很忙,只有我还有时间码字。
原因三:不想重复造轮子,方便别人的同时也方便自己
每天都会有不少朋友通过各种渠道找到我,咨询关于***病毒的事情,对每个朋友我都要重复一遍基本的东西,而且还要表现得不厌其烦。其实内心已经接近崩溃,这重复得工作什么时候是个头。而写完这个帖子就可以节省很多时间,想想就觉得刺激。
2. 中***病毒后的正确操作姿势
中毒后正确的操作步骤整体概括如上图。我们接下来详细解说每一步
数据不重要
若属于这种情况那么恭喜你侥幸躲过一劫,但别得意的太早,因为如果你对安全时间不加以重视,那么迟早有一天你的重要数据会被加密,这绝非危言耸听。
2019年我亲自处理过一个典型的案子。某集团企业邮件系统被黑客攻破,但仅仅造成一台PC机中毒,IT部门抱着侥幸心理和大事化小的态度格式化重装系统并集中修改了邮箱密码,并未做其他任何安全防护工作。5个月后,整个集团20多台服务器被全部攻破数据加密。 如下图
步骤1:找准中毒原因,修复薄弱环节,避免二次中毒。
我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神,那就从以下几个思路入手。
(防火墙日志);
;(windows安全日志,下图中日志被黑客清空了)
;(客户端异常登录日志)
4:利用网络上免费的病毒溯源工具查找异常。
时间允许的花我后续会专门写一篇详细溯源教程配合工具使用方法,
(--***病毒溯源分析教程贴预留位置,如有安全大牛赞助此贴或者有现成的帖子请告知-)
步骤2:格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。
GHOST版本系统有非常多的系统漏洞和预装软件的***。如果企业单位批量电脑,建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。
注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!
安全防护绝对不是买一套防火墙或者装几套杀毒软件就能解决问题的。
任意一个新的***病毒的变种就可以躲开几乎所有的杀毒软件和防火墙。这也是为什么各大厂商的杀毒软件和防
火墙都在持续不断的更新自己的病毒库的原因,因为只有安全人员捕获了病毒特征才有机会识别并杀掉病毒。这意味着肯定得有一部分人要先中毒牺牲掉自己,才能引起各大杀软和防火墙公司的注意。
数据重要但不紧急(这里的不紧急是指可以等上1-3年)
步骤1. 通过PE模式或者安全模式进入服务器,把重要的数据备份一遍(最好是全盘备份至一个空的移动硬盘)
为什么一定要在安全模式或者PE模式下,因为部分***病毒加密数据后会在注册表中修改开机自启动,如果你不在安全模式下或者PE模式下,那么很有可能你插上移动硬盘后你的移动硬盘里面的数据也会被加密。
为什么最好是全盘备份,因为有些黑客的解密程序要用到你本地机器上***信的公钥。如果这些文件你备份的时候没有备份完整,即使后续出来免费的解密程序你也无法解密。
步骤2. 和 步骤3 同上面的数据不重要
数据重要且紧急
步骤1:先断网而不是先关机。 我们从大量***病毒案例中分析得出,***病毒的黑客攻击的时间集中在晚上或者非工作日。因为晚上和非工作日不容易被发现,有充足的时间进行加密。当发现ERP服务器中毒或者金蝶用友财务服务器中***病毒之后,应该把中毒服务器的网线断开,如果是虚拟机可以把网卡禁用,防止横向扩展传播。
不要着急关机的原因有两个
原因1:中毒服务器不关机,就有可能从内存DUMP中找到加密的私钥(我们成功用此方法找到过过密钥)这种方法找到私钥的可能性不大,但至少是一种可能。
原因2:如果服务器的数据量非常大,黑客加密程序正在加密过程中突然断电,那么会导致这个文件加密不完整,彻底损坏掉。即使黑客也无法解密此类文件。这个道理很容易理解,就好比你正在编辑一个EXCEL,如果没有保存直接断电,很可能这个EXCEL再打开就会乱码。财务工作人员应该都遇到过这个问题。因为我修