勒索病毒怎么解决
勒索病毒的解决如下:
1、及时止损(拔网线)。
能拔网线的直接拔网线,物理隔离,防止出现「机传机」的现象。如果是云环境,没法拔网线,赶紧修改安全组策略,总之,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通讯,防止内网感染。
改密码!如果被勒索的机器和未被勒索的机器存在相同的登陆口令(相同的密码),及时修改未感染机器的登陆口令。
保护好案发现场,不要重启!不要破坏被勒索的机器环境,保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致系统完全崩溃,严重影响后续动作。
关端口及时关闭未感染机器远程桌面/共享端口(如:22/135/139/445/3389/3306/1521)对未感染的重要机器进行隔离备份,备份后及时物理隔离开备份数据,如:硬盘或者 u 盘备份后需要及时拔掉。
不要联系黑客,在不了解勒索病毒的情况下,建议不要直接联系黑客(容易钱财两空)。
2、确定影响范围。
止损之后,逐一排查感染规模及环境(是 OA 还是服务器/一共中了多少台),可通过网络区域划分,防火墙设备、流量检测设备辅助快速确认影响范围。
3、病毒提取和网络恢复。
取证,通过对被勒索机器进行取证提取病毒样本,或结合终端防病毒软件,对影响区域内或可疑区域进行逐台确认,是否有遗留的病毒样本,确保所有机器上的病毒样本均已查杀;恢复网络制定网络恢复计划,优先对非重要区域的终端进行网络恢复,恢复过程中需通过流量检测设备进行实时监测,确保恢复后不会出现横移情况;直至全部网络恢复。
4、数据恢复和解密。
目前绝大多数勒索病毒均无法解密(在没有拿到解密密钥的情况下),通常有如下几种选择:如有数据备份,则可以直接通过数据备份进行恢复;放弃数据恢复;联系勒索者缴纳赎金,但是不建议自己联系,最好是专业的服务商协助,他们比较知道怎么跟勒索者谈判。
5、溯源分析。
溯源分析的目的,并不是是查到勒索者是谁,而是找到勒索入侵的源头(从哪台机器上进来的),即 0 号主机,然后进行相应的安全加固,以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征,可以判断勒索病毒家族;
对于内部攻击路径溯源,需依托于网络、安全设备日志以及感染/关联终端日志记录,包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注:因为很多勒索病毒存在反侦察手段,终端环境可能会被清理,如果没有流量监控等相关设备,溯源难度会非常大。
6、安全加固。
修复内网中高危漏洞,确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口,如:445、3389等。对重要系统进行异地物理备份,确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域,各个区域之间使用严格的ACL,避免攻击者大范围横向移动扩散。
1.隔离勒索病毒感染设备
①物理隔离:断网断电、关闭无线网络、关闭蓝牙连接、拔掉存储设备
②修改口令:修改感染设备、最高级系统管理员账户以及同一局域网下的其他设备的密码
2.排查勒索病毒感染范围
①信息泄露排查:敏感信息存储设备异常访问
②网络拓扑排查:网络拓扑、业务结构
③业务系统排查:核心业务系统、数据备份系统
④数据备份排查:数据备份可用、备份设备对接
3.研判勒索病毒攻击事件
①研判勒索病毒种类
②研判攻击侵入手段:查看设备保留日志和样本,判断攻击侵入的方式
4.尝试进行勒索病毒破解
①已知私钥破解
②加密漏洞破解
③明密文碰撞解密
④暴力破解
参考来源:2021年9月中国信通院《勒索病毒安全防护手册》
下面是几个步骤,可以帮助您应对勒索病毒:
1. 立即断开与互联网的连接
如果您在发现自己的设备中了勒索病毒后,应该立即断开与互联网的连接。这样可以防止黑客通过网络来进一步感染您的设备,并防止其扩散到其他设备。
2. 找到并删除病毒文件
接下来,您需要找到病毒文件,并将其删除。您可以尝试在安全模式下启动计算机,这样可以使操作系统仅运行必需的程序,以便更容易找到和删除病毒文件。
3. 恢复被加密的文件
如果您的文件已经被加密,您可以考虑使用备份来恢复数据。如果您没有备份,可以尝试使用数据恢复工具来恢复文件或选择专业数据恢复工程师来恢复。
4. 不要支付勒索费用
虽然黑客可能会威胁您,并要求您支付一定的费用来解决问题,但不要轻易支付勒索费用。这种行为不仅容易造成二次勒索,而且还很容易带来数据丢失问题。因此,如果您的设备中了勒索病毒,请尽量避免支付任何费用给黑客,正确的方式是选择专业的数据恢复工程师来恢复数据。
总之,如果您的设备中了勒索病毒,应该立即采取措施,并注意以下安全事项:备份数据、保持操作系统和软件更新、安装可信的防病毒软件等。最重要的是,不要随意下载或打开不明来源的文件,以免被再次感染勒索病毒。