熊猫正正
企业中了勒索病毒该怎么办?可以解密吗?
1.断网处理,防止勒索病毒内网传播感染,造成更大的损失;
2.查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本;
https://www.botfrei.de/de/ransomware/galerie.html
https://id-ransomware.malwarehunterteam.com/
3.确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密;
4.进行溯源分析,确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞;
5.做好相应的安全防护工作,以防再次感染。
在已经感染中毒的机器上找到相应的勒索病毒样本、勒索病毒勒索信息文本,勒索病毒加密后的文件,将这些信息,上传到https://id-ransomware.malwarehunterteam.com/,可以得出是中的哪个勒索病毒家族,然后再上面的几个网站去找相对应的解密工具,同时提醒,因为勒索病毒在不但变种,可能一些家族的旧版解密工具,无法解密新版的变种样本。
勒索病毒防范措施与应急响应指南
- 隔离被感染的服务器主机
拔掉中毒主机网线,断开主机与网络的连接,关闭主机的无线网络WIFI、蓝牙连接等,并拔掉主机上的所有外部存储设备
- 确定被感染的范围
查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器,以及主机上云存储中的文件等,是否已经全部加密了
- 确定是被哪个勒索病毒家族感染的,在主机上进行溯源分析,查看日志信息等
主机被勒索病毒加密之后,会在主机上留上一些勒索提示信息,我们可以先去加密后的磁盘目录找到勒索提示信息,有些勒索提示信息上就有这款勒索病毒的标识,显示是哪一种勒索病毒,比方GandCrab的勒索提示信息,最开始都标明了是哪一个版本的GandCrab勒索病毒版本,可以先找勒索提示信息,再进行溯源分析
溯源分析一般通过查看主机上保留的日志信息,以及主机上保留的样本信息,通过日志可以判断此勒索病毒可能是通过哪种方式进来的,比方发现文件被加密前某个时间段有大量的RDP爆破日志,并成功通过远程登录过主机,然后在主机的相应目录发现了病毒样本,可能猜测这款勒索病毒可能是通过RDP进来的,如果日志被删除了,就只能去主机上找相关的病毒样本或可疑文件,通过这些可疑的文件来猜测可能是通过哪种方式进来的,比方有些是能过银行类木马下载传播的,有些是通过远控程序下载传播的,有些是通过网页挂马方式传播的,还可以去主机的浏览器历史记录中去找相关的信息等等
- 找到病毒样本,提取主机日志,进行溯源分析之后,关闭相应的端口、网络共享、打上相应的漏洞补丁,修改主机密码,安装高强度防火墙,防病毒软件等措施,防止被二次感染勒索
- 进行数据和业务的恢复,如果主机上的数据存在备份,则可以还原备份数据,恢复业务,如果主机上的数据没有备份,可以在确定是哪种勒索病毒家族之后,查找相应的解密工具,解密工具网站可以看我上一篇文章中提到的,事实上现在大部分流行勒索病毒并没有解密工具,如果数据比较重要,业务又急需恢复,可以考虑使用下面方式尝试恢复数据和业务:
5.1 可以通过一些磁盘数据恢复手段,恢复被删除的文件
5.2 可以跟一些第三方解密中介或直接通过邮件的方式联系黑客进行协商解密(但不推荐),可能就是因为现在交钱解密的企业越来越多,导致勒索病毒家族变种越来越多,攻击越来越频繁,还有很多企业中了勒索病毒暗地里就交钱解密了