专栏首页用户6477171的专栏我们翻出火绒工程师压箱底的勒索病毒自救秘籍……

我们翻出火绒工程师压箱底的勒索病毒自救秘籍……

虽然勒索病毒目标以企业为主,但个人用户也同样是其顺手牵羊的对象,而且套路层出不穷:“老板”发来的文件点不点?中大奖的邮件看不看?免费的破解软件用不用?甚至运行灰色软件提示的退出安全软件“保平安”的要求答不答应?

这些陷阱一旦踩下去,搞不好就遇到勒索病毒,这不最近B站大V“歪果仁研究协会”就疑似因下载激活工具被多款勒索病毒光顾,导致大量重要资料被加密。

于老师表示:“勒索病毒本身原理并不复杂,可怕的是其加密行为。一旦加密行为完成,即使查杀病毒也无法解密。因此,对付勒索病毒,除了做好防御之外,还需要掌握一些自救的正确姿势,尽量降低损失。”

首先,自救的前提是知道是否感染勒索病毒。一般可以通过桌面和文件后缀名的改变来判断。

1、桌面变动

勒索病毒会修改用户桌面的壁纸,或者在桌面显示新的文件,提供勒索信息,通知用户中毒,并引导如何缴纳赎金解密。

2、文件后缀名被统一修改

勒索病毒运行后可以加密图片、文档、表格等几十甚至上百种格式文件,并统一修改被加密后的文件后缀名(如下图)。

所以,如果只收到一封勒索邮件,被“录制视频”挟缴纳赎金的童鞋大可放心了,这种并非勒索病毒,是网络诈骗。

当确认中了勒索病毒,面对电脑桌面跳出的一封纯英文的勒索信,你会:

A:后悔,反思自己英语没学好啥都看不懂。

B:愤怒,歪比巴卜,阿巴阿巴阿巴。

C:慌张,咋整啊?咋回事啊?咋办啊?

于老师告诉你,上述选项都不对,正确的应该是掌握八字自救法:保(bu)护(yao)现(luan)场(dong),寻(kuai)求(zhao)救(huo)援(rong)。

如何保护现场呢?

一是断网。直接拔网线或网卡,笔记本类则关闭无线网络,中断病毒后续的传播,起到降低损失的作用。

二是杀毒。通过火绒等具备本地引擎的安全软件进行全盘扫描,清除病毒本体,防止遭遇多次加密的情况发生。需要强调的是,查杀病毒不能解密文件。

除此之外,还有两点一定不能做:

切勿在被感染勒索病毒终端上插入使用U盘、移动硬盘等具备存储功能的外接设备,以防这类设备内的文件被再次被病毒加密,并进行传播;

切勿反复打开被感染终端上的文件,会不利于后续使用数据恢复工具尝试恢复文件。

至此,就完成了自救的主要措施,然后就是场外求助,可以联系火绒等安全厂商帮忙,及时分析勒索病毒样本以及入侵方式,确认是否可以解密,并获取专业的后续安全建议和加固方案。

接着就是与黑客斗智斗勇的阶段:数据恢复。

1、如果被加密的文件有备份资源,那么恭喜你可以大声说:勒索病毒,啥也不是。然后清除病毒重装系统后,就可以还原资料数据了。

2、如果没有备份资源,但查询到有对应的解密工具,那么同样恭喜你可以大声说:勒索病毒,啥也不是。然后就可以使用解密工具还原资料数据。

火绒公布的勒索病毒工具在这里,希望大家永远用不到:

http://bbs.huorong.cn/thread-65355-1-1.html

要说清楚的是,目前绝大多数勒索病毒加密文件后是无法解密的。只有极少数的勒索病毒被制作出解密工具,只是其中条件也是极为苛刻的,比如需要勒索病毒作者主动或被迫公布密钥,又或者病毒本身制作携带缺陷。所以,不要心存侥幸。

具体原因请听火绒小姐姐的苦口婆心:

《火绒小课堂:勒索病毒为什么很难解密?(视频)》

3、如果以上条件都不具备,那么还可以可联系专业的数据恢复公司尝试恢复被加密文件。

部分勒索病毒并非直接加密原文件,而是对原文件进行复制,然后加密复制文件,并删除原文件。使用数据恢复工具可对被删除的原文件进行尝试性恢复。(这就是上面提到的切勿反复打开终端文件的原因了)

面对勒索病毒,我们不推荐向黑客妥协选择支付赎金解密,这样不仅会助长勒索病毒传播和更新的势头,也无法保证一定获得密钥。(少数勒索病毒纯粹以破坏为目的,如“Petya”勒索病毒。)

最后是安全防护,虽然老生常谈了,但这部分才是最重要的。

1、对重要数据进行备份。你们也看见了上面如果存了备份数据的话,可以有多嚣张了。

2、部署安全软件,定期进行查杀。

3、对熟人发来的工具、邮件内的附件等,先查杀后使用,出现报毒的情况不要通过退出火绒或添加白名单后运行。如需要确认是否是病毒,可提交火绒安全协助进行分析。

4、及时更新系统和为主机打补丁,修复相应的高危漏洞。

最后的最后,对相关勒索事件,大家也可以直接通过以下方式,直接向我们反馈求助:

1、拨打电话400-998-3555

2、通过火绒官方论坛反馈

3、邮箱:seclab@huorong.cn

4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。

本文分享自微信公众号 - 火绒安全实验室(HuorongLab),作者:火绒安全实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-08-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 火绒截获新型勒索病毒Spora 通过IE、Flash漏洞等方式传播

    近日,火绒实验室截获了一个新勒索病毒Spora,通过漏洞和诱骗方式传播,除了加密被感染电脑的本机文件外(doc/ppt/psd/jpg……等各种文件类型),还会...

    用户6477171
  • 勒索病毒不要赎金或跟风“WannaRen" 火绒已解密并阻断传播渠道

    近日,有多位网友向火绒反馈遭遇勒索病毒攻击,火绒工程师远程查看后,发现攻击者通过一款后门病毒向用户植入了该勒索病毒:工程师一边对后门病毒进行溯源分析,同时升级产...

    用户6477171
  • 真实案例:某法院网络10余种病毒肆虐

    近日,河南省开封市某法院在试用“火绒企业版”(火绒终端安全管理系统1.0)时发现,有大量病毒在内网中传播。火绒工程师现场调查发现,该单位那些还没安装“火绒企业版...

    用户6477171
  • 网站漏洞测试 关于webshell木马后门检测

    前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂...

    网站安全专家
  • 网站上传漏洞扫描与检测 以及webshell解决办法

    前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂...

    技术分享达人
  • 不能低估的“对手”:FONIX勒索软件及服务

    事实上,FONIX于 2020 年 7 月才首次出现在威胁环境中,与这种威胁相关的感染数量仍然很少,但绝不能被轻易低估。

    FB客服
  • Serverless-实现bing每日壁纸API(一)

    serverless函数的开发方式很适合用来实现一些简单的小功能,比如接下来要做的这个,抓取bing搜索的每日壁纸图片,功能非常的简单:

    Thor
  • 2017年十大Web黑客技术榜单

    近期,由安全公司 Portswigger 发起的“2017年十大Web黑客技术”评选结果出炉了!经过一开始初选的37个技术议题提名,到后来白帽社区投票的15个入...

    FB客服
  • MySQL系列 | MySQL 和 InnoDB

    很多开发者在最开始时其实都对数据库有一个比较模糊的认识,觉得数据库就是一堆数据的集合,但是实际却比这复杂的多,数据库领域中有两个词非常容易混淆。数据库和实例:

    Tinywan
  • 思维导图学 Spring

    思维导图使用 Xmind 制作,是记录 极客时间 丁雪峰 玩转Spring全家桶。

    Yano_nankai

扫码关注云+社区

领取腾讯云代金券