-
1.0 智能化园区网络解决方案
-
2.0 智慧无线整体解决方案
-
3.0 数据中心IT解决方案
-
4.0 信息安全整体解决方案
-
5.0 统一通讯解决方案
-
6.0 综合布线系统解决方案
-
7.0 数据中心机房建设解决方案
-
8.0 物联网综合解决方案
-
9.0 智能化弱电系统解决方案
-
10.0 信创解决方案
勒索病毒介绍
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给路段带来业务终端,数据被加密等无法估量的损失,且该病毒具备传染性,可能对网络中所有设备进行攻击,造成感染。
投毒步骤
①攻击者发现了暴露在公网上的设备A
②通过代理服务器进行慢速爆破避免被安全设备识别
③取得设备A控制权后继续渗透服务器A
④攻陷服务器A后发现是测试环境通过远控继续横向扩散
⑤当发现被攻陷的服务器中存在有价值的信息后打开加密开关
预防手段
基础安全加固
资产安全优化
针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。
对弱密码情况进行处置,保证密码的复杂度,降低被破解密码入侵的风险
定期升级系统或应用至最新状态,并全盘进行查杀,对系统进行深度清理,保证系统的安全性。
安全运营提升
定期备份重要资料以及数据
进行资产梳理,确保所有主机资产都有效记录并定时进行主机安装更新。
提高安全意识避免点击钓鱼邮件中的恶意Office文档和链接
应该确保安装专业的反病毒产品,而不仅仅只安装“电脑管家”、“电脑助手”等辅助类工具。最重要的是,需要确保这些专业的反病毒产品实时运行,并定期更新。
不要轻信网上的“专业恢复公司”,如果木已成舟,确认全部文件已经被加密,此时应该寻求专业安全人员的帮助,切忌盲目使用搜索引擎查找网上的所谓解决方案,以及不要轻信网上的“专业恢复公司”。部分勒索软件,攻击者不仅尝试感染用户电脑,并且还在网络上以“专业的勒索软件清除公司”为名义发布广告。
处理手段
应急处理——>抑制处理——>根除
应急处理
发现文件被加密或者弹出勒索相关提示时,不要立即重启电脑,防止病毒发作及扩散;
确认主机遭受勒索病毒后,应对受影响的主机及其所在区域进行断网隔离,方法不限于关机、禁用有线网卡、无线网卡或拔掉网线、防止感染其他终端,并立即向上级主管部门报告;
评估病毒影响范围并逐一排查确认,加强全网的访问控制策略(如防火墙策略等),防止病毒扩散。
若数据较为重要的情况下,可暂时先不要删除或损坏被加密数据、并确认是否有能解决的方案。
抑制处理
下线中毒设备,使用备用设备(确认已提前打好补丁并将杀毒软件升级至最新版本)尽快进行业务恢复;
对辖内系统未中毒的设备进行补丁修复及安全加固,以免勒索病毒横向扩展,影响更大范围。
根除
1. 针对中毒设备进行全盘格式化,并重装操作系统,并从备份文件中恢复相关软件及数据资料。
小提示
随着勒索软件影响面的逐渐扩大,一些知名安全公司也纷纷根据此前获取的威胁情报,开发出了针对勒索软件的专门恢复工具。在发现感染后,可以尝试使用这些公司提供的工具。需要注意的有两点,一是务必要从这些知名安全公司的官网下载工具并使用。第二是,尽管目前存在一定数量的恢复工具,但仍然无法确保一定能实现恢复,甚至成功恢复的概率是偏低的,因此要有相应的心理预期。下面汇总了知名厂商的恢复工具,列举如下作为参考:
(1) 卡巴斯基免费勒索软件解密器:
https://noransom.kaspersky.com/
(2) Avast的免费勒索软件解密工具:
https://www.avast.com/zh-cn/ransomware-decryption-tools
(3) 反病毒厂商EMSISOFT的解密工具:
https://www.emsisoft.com/decrypter/
(4) 知名安全研究团队MalwareTeam的工具:
https://id-ransomware.malwarehunterteam.com/
(5) Nomoreransom勒索软件解密工具集:
https://www.nomoreransom.org/zh/decryption-tools.html