勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

这篇具有很好参考价值的文章主要介绍了勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

勒索病毒怎么破

记录两次客户中勒索病毒恢复的情况。 2020年5月在公众号‘成文数科’写的文章,现在安全事故愈发频繁。故重新贴到CSDN来

勒索病毒的前世今生

2017年4月14日晚,黑客团体Shadow Brokers公布“永恒之蓝”工具,该工具可利用Windows系统的共享文件服务漏洞获取系统最高权限。不久后,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯等欧洲国家以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
此后,wannacry和各种变种的勒索病毒肆虐全球

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

想必中过招的朋友对下图非常熟悉

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

勒索病毒为什么可怕

我们作为软件服务商,在2017年开始已经碰到非常多起勒索病毒的事件,很多客户由此造成数据丢失,系统停运等各种问题带来的损失无法估量,勒索者通常索取BTC(一种基于区块链技术的电子货币),由于BTC匿名的特点,报案也是无法追溯到作者的。所以我们也剖析了一些勒索病毒原理:

首先攻击者获得权限后,通常采用给快速的对称加密算法对文件加密后,使用非对称加密将密钥进行加密,常用的加密算法RSA、Elgamal等

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

加密算法和BTC这里不详细说,感兴趣的朋友可以搜索一下相关信息详细了解,总之采用这种加密勒索BTC,以目前计算机的算力不通过私钥解密是不太可能的,也无法通过合法途径报案追溯犯罪者。

我们在17-19年中碰到的勒索病毒案例中发现,勒索病毒为了快速的对系统中所有数据文件的加密,通常对大文件仅加密头部信息通过破坏文件完整性的方式,这种情况下,对数据库实体文件来说是可以通过数据库修复工具进行非加密部分数据的提取从而进行修复。

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

但在最近我们接到的3起勒索病毒事件请求中,不管多大的数据库文件都被全部加密了,剖析了部分勒索病毒源码发现新的勒索病毒变种几乎都改变了加密机制,变成先快速全盘数据文件加密后,对没有100%加密的文件定时进行逐步加密到100%,也就是如果是在中招后,如果在100%加密之前没有发现和清除病毒,想要恢复文件就只有找作者交赎金这一条风险很高的路可走,这也是我们写这篇文章的原因,希望大家能事先做好防护,事后补救可能为时已晚

恢复实例

1.通过数据库修复某药企用友U8财务系统数据库

在收到客户反馈后,我们对比了一下有备份的文件和被加密文件,发现这种只是头部数据加密破坏了数据的完整性,所以重装软件也无法附加被破坏的数据库实体文件,如下图

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

接下来我们通过数据库修复工具,读取加密的数据库实体文件中的表和数据,可以把正式环境数据恢复98%左右

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

此时这种情况下,距离完全恢复仅一步之遥,这种情况我们询问了客户是否有前一段时间的完整备份,客户反馈完整可用的备份是一个月前的。于是我们通过把一个月前的正常的数据作为对比,两个库对U8中相关的系统参数表/基础资料/总账凭证/固定资产/余额表/辅助账表等逐一进行排查,最终完全恢复了数据,恢复在用友U8中正常使用

2.代向勒索者交赎金获取密钥解密(某上市药企WMS系统数据库)

2020年1月份,临近春节假期。一个曾找我们开发过ERP-WMS接口的客户信息部来电反馈仓库系统无法运行,疑似中勒索病毒。经远程验证后确实中了后缀.chch的CrySiSV2家族勒索病毒。数据库修复工具读取账套,数据大部分还是可以修复的。

但经了解客户的情况,数据库实体50多G,WMS系统通过数据库的存储过程和一些配置性xml文件实现的二次开发,程序文件和数据库均未曾做过任何备份。

基于以上情况,如果数据库和配置文件不能100%修复也没有意义,系统还是跑不起来。于是跟客户领导领导沟通后,最终拍板由我们代付BTC赎金,获取私钥解密文件

于是我们联系了勒索信中的邮箱 aquamen@email.tg,用我小学水平的英语简单粗暴的问了多少钱,对方马上有了回复,0.3BTC

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

0.3BTC大概要多少钱呢,按当天BTC的市值换算了一下,19800,大约两万块

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

后续往来了很多邮件,过程也略曲折,最后还价到了0.22BTC成交,为了取得信任,作者让我们提供了被加密的小文本文件证明他手上有解密私钥(这步很关键,如果对方有解密的私钥,一般大概率付费后会提供私钥),以及先提供了btc地址做了个0.01btc付费的测试。

往来邮件:

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例
勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例
勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

最终作者发过来了解密私钥程序 ,通过该程序放在加密文件下运行,解密了所有加密文件恢复了系统的运行

勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例

可以看到作者来的解密程序,为什么有两个呢,是因为管理员在没有清理病毒的情况下,直接改了文件后缀名,从而被加密了两次,得亏付钱后作者还有耐心多生成了一个ID的解密程序,此次恢复实属万幸

所以切记,碰到中勒索病毒情况一定不要自己去处理,可能造成无法恢复的后果。第一时间应该拔掉网线关机,把硬盘挂载其他系统拷出数据,才有最大可能恢复

追溯原因

近几年我们处理过的勒索病毒的情况,都分析了相关日志文件进行攻击溯源,发现普遍(95%)以上都是运维人员安全意识较薄弱,将RDP服务用默认端口3389和默认超管administrator弱密码开在外网,被扫描后暴力破解进入系统。
以下是我司一台在阿里云的服务器临时放开了RDP端口访问的登录日志

![sjck.png][13]

可以看出暴露在外网RDP服务无时不刻都有人在挂代理扫描端口,只有中一次密码则立马中招

总结

经过多次勒索病毒的处理,简单总结了几点经验,希望对大家有所帮助

  1. 备份,备份,备份。重要的事情说三遍,特别是要定期做好离线备份
  2. 网络的分区分域,让攻击限制在局部
  3. 服务器尽量使用Linux,性能好安全性高,虽然也有针对Linux的勒索病毒,相对难度会更高
  4. RDP远程桌面不要使用默认端口和默认超管用户,做好网络的权限梳理和基于端口的访问策略
  5. 定期排查日志和用户管理中记录是否有可疑情况

只要能做到以上几点,基本可以杜绝99%的中勒索病毒的可能,但最后还是要说,安全无绝对,勒索病毒这事儿未来一定会越来越多,说了这么多,还是希望大家保持良好的运维习惯,别中勒索,如需要更详细的自救和防护指南,可长按下方图片关注我们,回复‘防勒索’获取勒索病毒自救和防护指南文章来源地址https://www.toymoban.com/news/detail-494009.html

到了这里,关于勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 勒索病毒最新变种.halo勒索病毒来袭,如何恢复受感染的数据?

    摘要: .halo勒索病毒已成为数字世界中的威胁,通过高级加密技术将文件锁定,并要求支付赎金。本文91数据恢复将深入介绍.halo勒索病毒的工作原理,提供解锁被感染文件的方法,以及探讨如何有效预防这一威胁。如果您正在经历勒索病毒数据恢复的困境,我们愿意与您分享

    2024年02月09日
    浏览(42)
  • 网络安全之勒索病毒应急响应方案

    处置方法: 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。 1. 物理隔离 物理隔离常用的操作方法是断网和关机。 断网

    2024年02月06日
    浏览(42)
  • Mallox勒索病毒最新变种.malox勒索病毒来袭,如何恢复受感染的数据?

    Mallox勒索病毒是一种针对计算机系统的恶意软件,能够加密受感染计算机上的文件。最近,新的Mallox病毒变种.malox勒索病毒被发现并引起了关注,.malox勒索病毒这个后缀已经是Mallox勒索病毒家族的第十几个升级变种了,这个后缀的加密占比更高,导致数据的修复难度再次升级

    2024年02月06日
    浏览(45)
  • 深入浅出如何防勒索病毒

    1.勒索病毒是如何传播的 这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒

    2024年02月04日
    浏览(44)
  • 网络安全底座让勒索病毒攻击化被动为主动,为数字化转型打好安全地基

    根据Cyber Security Ventures的分析结果表明,2022年全世界每11s就会发生一次勒索软件攻击,与2019年每14s一次攻击预测相比,攻击数量增加了约20%。随着勒索软件威胁的不断加剧,一旦目标中招,目标受害者可能面临运营中断,机密信息泄露以及赎金经济损失等问题。随着勒索软件

    2024年04月14日
    浏览(50)
  • 网络攻击1——网络安全基本概念与终端安全介绍(僵尸网路、勒索病毒、木马植入、0day漏洞)

    目录 网络安全的基本术语 黑客攻击路径 终端安全 僵尸网络 勒索病毒 挖矿病毒 宏病毒 木马的植入 0day漏洞 流氓/间谍软件 网络安全的定义(CIA原则) 数据的保密性Confidentiality(对称/非对称秘钥) 完整性Integrity(数字证书—证明发送方可信、数字签名—验证数据完整性,是

    2024年02月03日
    浏览(49)
  • 360勒索病毒:了解最新变种.360,以及如何保护您的数据

    尊敬的读者: 近期,一种名为.360勒索病毒的威胁肆虐网络,给个人和企业带来了巨大的损失。本文将深入介绍.360勒索病毒的特征、恢复被加密数据的方法,并提供一系列有效的预防措施,助你在数字世界中远离这一威胁。在面对被勒索病毒攻击导致的数据文件加密问题时,

    2024年01月18日
    浏览(38)
  • 服务器感染了.360勒索病毒,如何确保数据文件完整恢复?

    引言: 随着科技的不断进步,互联网的普及以及数字化生活的发展,网络安全问题也逐渐成为一个全球性的难题。其中,勒索病毒作为一种危害性极高的恶意软件,在近年来频频袭扰用户。本文91数据恢复将重点介绍 360 勒索病毒,包括如何解密被其加密的数据文件,以及如

    2024年02月12日
    浏览(46)
  • 服务器感染了.pings勒索病毒,如何确保数据文件完整恢复?

    导言: 随着科技的不断进步,网络犯罪也在不断演变。其中之一的.pings勒索病毒是一种危险的恶意软件,它能够加密用户的数据文件,并要求支付赎金以解密这些文件。在本文中,91数据恢复将介绍.pings勒索病毒,以及如何恢复被其加密的数据文件,并提供一些预防措施。

    2024年01月25日
    浏览(46)
  • 服务器感染了.mallox勒索病毒,如何确保数据文件完整恢复?

    尊敬的读者: 随着科技的进步,网络犯罪也在不断演进,.mallox勒索病毒作为其中的一种威胁已经引起了广泛关注。本文将深入介绍.mallox勒索病毒的特征、传播途径,详细解释如何有效恢复被加密的数据文件,并提供一系列预防措施,以保护系统免受.mallox及类似威胁的侵害。

    2024年02月20日
    浏览(36)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包