服务器被勒索病毒攻击怎么办_服务器知识

可以先在网上查找有没有解密工具，如果是老款的勒索病毒，有可能是由加密工具放出的。

这里需要的注意一点是，如果找到解密工具，最好是先备份再解密。如果版本不一致，可能会解密失败，但同时文件底层扇区会进行相应的解密修改，导致后期就算找到一致的解密工具或解密秘钥，都是没办法再成功解密的，因为加密信息已经不一致了。

推荐几个解密工具集下载地址：

No More Ransom ：www.nomoreransom.org/zh/index.html

Emsisoft ：www.emsisoft.com/ransomware-decryption-tools/

卡巴斯基：

https://noransom.kaspersky.com/

MalwareHunterTeam ：https://id-ransomware.malwarehunterteam.com/

目前最常见的勒索病毒后缀有：

eking、mallox、sojusz、avast、360、wncry、makop、locked、bozon、fc、lockbit、rook、eight、devos、865qqz、666qqz等等。

被勒索病毒破坏的数据库大多数都是可以修复的，有成熟的解决方案，不用联系黑客付高额赎金解密，而且解密还是有风险的，不一定能成功获取解密程序。

勒索病毒的解决如下：

1、及时止损（拔网线）。

能拔网线的直接拔网线，物理隔离，防止出现「机传机」的现象。如果是云环境，没法拔网线，赶紧修改安全组策略，总之，将被感染的机器隔离，确保被感染的机器不能和内网其他机器通讯，防止内网感染。

改密码！如果被勒索的机器和未被勒索的机器存在相同的登陆口令（相同的密码），及时修改未感染机器的登陆口令。

保护好案发现场，不要重启！不要破坏被勒索的机器环境，保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作，最好保持原封不动，在不了解的情况下，任何动作都可能导致系统完全崩溃，严重影响后续动作。

关端口及时关闭未感染机器远程桌面/共享端口（如：22/135/139/445/3389/3306/1521）对未感染的重要机器进行隔离备份，备份后及时物理隔离开备份数据，如：硬盘或者 u 盘备份后需要及时拔掉。

不要联系黑客，在不了解勒索病毒的情况下，建议不要直接联系黑客（容易钱财两空）。

2、确定影响范围。

止损之后，逐一排查感染规模及环境（是 OA 还是服务器/一共中了多少台），可通过网络区域划分，防火墙设备、流量检测设备辅助快速确认影响范围。

3、病毒提取和网络恢复。

取证，通过对被勒索机器进行取证提取病毒样本，或结合终端防病毒软件，对影响区域内或可疑区域进行逐台确认，是否有遗留的病毒样本，确保所有机器上的病毒样本均已查杀；恢复网络制定网络恢复计划，优先对非重要区域的终端进行网络恢复，恢复过程中需通过流量检测设备进行实时监测，确保恢复后不会出现横移情况；直至全部网络恢复。

4、数据恢复和解密。

目前绝大多数勒索病毒均无法解密（在没有拿到解密密钥的情况下），通常有如下几种选择：如有数据备份，则可以直接通过数据备份进行恢复；放弃数据恢复；联系勒索者缴纳赎金，但是不建议自己联系，最好是专业的服务商协助，他们比较知道怎么跟勒索者谈判。

5、溯源分析。

溯源分析的目的，并不是是查到勒索者是谁，而是找到勒索入侵的源头（从哪台机器上进来的），即 0 号主机，然后进行相应的安全加固，以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征，可以判断勒索病毒家族；

对于内部攻击路径溯源，需依托于网络、安全设备日志以及感染/关联终端日志记录，包括流量检测设备、防火墙设备、防病毒软件、终端日志。备注：因为很多勒索病毒存在反侦察手段，终端环境可能会被清理，如果没有流量监控等相关设备，溯源难度会非常大。

6、安全加固。

修复内网中高危漏洞，确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口，如：445、3389等。对重要系统进行异地物理备份，确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域，各个区域之间使用严格的ACL，避免攻击者大范围横向移动扩散。

NEMTY勒索病毒被发现可通过受损的远程桌面连接传播

时间：2019-09-06 14:59:41 来源：游侠安全网

概况

近日，美创安全实验室发现了一种全新的勒索病毒，根据它给被加密文件额外附加的文件后缀名，它被命名为“NEMTY”。这是该类型的勒索软件的第一个版本，目前，尚不清楚NEMTY具体是通过何种渠道传播的，但从一个可靠的消息来源获悉，攻击者是通过受损的远程桌面连接(RDP)来传播该病毒的。

病毒情况

美创安全实验室第一时间拿到相关病毒样本，经 virustotal 检测，确认为 NEMTY勒索病毒。NEMTY在执行加密时，使用RSA+salsa20算法加密电脑上的重要文件。加密后，影响用户关键业务运行，且暂时无法解密。

经过分析发现，此新型勒索病毒似乎融合了之前GandCrab和Sodinokibi两款勒索病毒的一些特点，但此勒索病毒代码结构与此前两款勒索病毒都不相同。至于该勒索病毒后期会不会流行爆发，需要持续跟踪观察，请各企业做好相应的防范措施，勒索病毒的重点在于防御。

详细信息

NEMTY勒索病毒和大多数勒索病毒一样，会删除其处理的文件的卷影副本，从而使受害者无法通过windows创建的备份来恢复数据。

如果不幸中招，则存储在计算机上的所有文件都被加密。受害者将能够看到如下图所示的一张赎金票据，提示受害者如何缴纳赎金获取解密工具。

该勒索病毒要求了0.09981 BTC的赎金，按照目前的行情，大约价值1000美元。为了保持匿名性，支付网站被托管在Tor网络上，攻击者还“贴心”地在赎金票据中给出了Tor浏览器客户端的下载地址。除此之外，攻击者还提供了另一个带有聊天功能的网页的链接，以便指导受害者如何进行付款操作。

防护措施

美创安全实验室再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施，以尽可能避免损失：

(1)及时给电脑打补丁，修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件，不从不明网站下载软件。

(4)RDP远程服务器等连接尽量使用高强度且无规律的密码，不要使用弱密码。

(5)尽量关闭不必要的文件共享。

(6)尽量关闭不必要的端口。

以上为防护勒索病毒的常规方式，为了更好的应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下：

在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加了nemty后缀，并且无法正常打开。

开启诺亚防勒索的情况下：

双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下：

为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何未知勒索病毒的执行。

服务器被勒索病毒攻击怎么办

发表评论

评论列表（0条）