2019中招 新型勒索病毒 怎么辦?
不幸中招,本文必讀!小白福利!
-
1、立即關(guān)機(jī)、斷網(wǎng)(拔掉網(wǎng)線(xiàn)或者關(guān)閉wifi)!關(guān)機(jī)、斷網(wǎng)的目的是避免再次被攻擊、二次加密,如二次加密將大大增加修復(fù)和解密難度,甚至無(wú)法修復(fù)或解密。
-
2、小白無(wú)法確定是否中招或中招什么病毒,建議直接請(qǐng)專(zhuān)業(yè)技術(shù)人員或第三方專(zhuān)業(yè)恢復(fù)公司指導(dǎo)處理。緊急情況請(qǐng)與我們聯(lián)系
-
3.、準(zhǔn)備PE盤(pán)和1塊沒(méi)有數(shù)據(jù)的移動(dòng)硬盤(pán),用PE盤(pán)啟動(dòng)計(jì)算機(jī),將中招的文件備份到移動(dòng)硬盤(pán),然后關(guān)閉電腦保持原狀態(tài)不變,恢復(fù)或解密只針對(duì)備份進(jìn)行操作。小白可直接聯(lián)系我們,救援服務(wù),全國(guó)上門(mén)。
-
4.、請(qǐng)勿病急亂投醫(yī),不輕易將樣本文件到處發(fā)送(很多用戶(hù)會(huì)將樣本文件一家一家發(fā)給恢復(fù)公司,這樣相同時(shí)間就有大量人找黑客,黑客就會(huì)鎖定機(jī)器ID,立即漲價(jià)),否則被黑客鎖定,會(huì)坐地漲價(jià),就悔之晚矣!!!應(yīng)認(rèn)真查閱信息,尋求有資質(zhì),正規(guī)、有保障的恢復(fù)公司進(jìn)行恢復(fù)。自勒索病毒爆發(fā)以來(lái),國(guó)內(nèi)出現(xiàn)大量勒索病毒解密公司,各家情況參差不齊,還有一些渾水摸魚(yú)的騙子,伙同黑客一起乘火打劫,受害者眾多,務(wù)必謹(jǐn)慎。
-
5、 切莫一出現(xiàn)問(wèn)題傻XX的直接聯(lián)系所謂的黑客,將單位情況、中毒情況、數(shù)據(jù)信息暴露個(gè)對(duì)方。有些單純的單位主管、信息管理員通過(guò)網(wǎng)絡(luò)了解些皮毛信息,認(rèn)為自己很厲害直接用單位郵箱或個(gè)人郵箱(QQ/126/163等典型特征郵箱)聯(lián)系黑客,將ID信息、數(shù)據(jù)文件,甚至中毒情況泄露,這樣赤裸裸的站在黑客面前,任憑其擺布,黑客的目的就是勒索更多錢(qián)財(cái),一旦被黑客探知我們底限,黑客只會(huì)變本加厲。
-
6、盡快找正規(guī)、專(zhuān)業(yè)恢復(fù)機(jī)構(gòu)(通過(guò)案例、技術(shù)溝通、商務(wù)流程等方面判斷對(duì)方是否真的專(zhuān)業(yè))分析病毒類(lèi)型和數(shù)據(jù)加密情況,評(píng)估損失程度,最終確定采取哪種恢復(fù)途徑(勒索病毒如何恢復(fù)見(jiàn)下文)。
-
自勒索病毒爆發(fā)以來(lái),我司掌握加密數(shù)據(jù)庫(kù)修復(fù)方法,已成功修復(fù)多例(詳見(jiàn)案例),我們始終堅(jiān)持能修復(fù),不解密的原則,盡量用最低費(fèi)用,幫助客戶(hù)解決問(wèn)題。如實(shí)在無(wú)法修復(fù),或用戶(hù)必須解密所有文件的,我們盡力為用戶(hù)爭(zhēng)取最低的價(jià)格(黑客贖金)。
GlobeImposter家族勒索病 解密/文件修復(fù)
2018春節(jié)剛過(guò),新型勒索病毒卷土重來(lái),國(guó)內(nèi)眾多衛(wèi)生、醫(yī)療系統(tǒng)中招,其中比較有名的案例為某省兒童醫(yī)院系統(tǒng)遭受勒索病毒攻擊,導(dǎo)致醫(yī)院業(yè)務(wù)系統(tǒng)癱瘓,患者無(wú)法就醫(yī)。據(jù)悉該醫(yī)院多臺(tái)服務(wù)器感染勒索病毒,數(shù)據(jù)庫(kù)文件被病毒加密破壞,攻擊者要求院方必須在六小時(shí)內(nèi)為每臺(tái)中招機(jī)器支付1比特幣贖金才能解密文件。
此次新型勒索病毒為GlobeImposter家族勒索病毒及其變種,它會(huì)加密磁盤(pán)文件并篡改后綴名為.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高強(qiáng)度非對(duì)稱(chēng)加密方式,受害者在沒(méi)有私鑰的情況下無(wú)法恢復(fù)文件,如需恢復(fù)重要資料只能被迫支付贖金。
GlobeImposter家族 勒索郵箱列表(郵箱特征:aol、india)
中勒索病 文件被加密,數(shù)據(jù)如何恢復(fù)?
主要有兩種解決方案:文件修復(fù)、數(shù)據(jù)解密, 兩種方案有什么區(qū)別,又該如何選擇呢?
|
修 復(fù) |
VS |
解 密 |
|
主要對(duì)Ms sql、my sql、oracel 數(shù)據(jù)庫(kù)文件進(jìn)行修復(fù) |
恢復(fù)對(duì)象 |
對(duì)全部文件進(jìn)行解密 |
|
需相同數(shù)據(jù)庫(kù)文件未被加密的備份或相同庫(kù)結(jié)果的空庫(kù)文件 |
恢復(fù)要求 |
無(wú)要求 |
|
根據(jù)文件加密情況、庫(kù)文件大小、修復(fù)難度決定。需將加密庫(kù)文件及備份發(fā)給工程師進(jìn)行分析、評(píng)估而定。 |
恢復(fù)時(shí)間 |
一般1-2天(由黑客決定) |
|
需視具體情況而定 |
恢復(fù)效果 |
完全恢復(fù)(特殊情況外) |
|
費(fèi)用低,解密費(fèi)用的10-30% |
恢復(fù)費(fèi)用 |
特別高 (黑客會(huì)根據(jù)文件重要程度、數(shù)量等因素確定) |
|
只需恢復(fù)數(shù)據(jù)庫(kù)文件,且有老的備份文件,修復(fù)效果好,即可選擇修復(fù),修復(fù)費(fèi)用遠(yuǎn)遠(yuǎn)低于解密。文件修復(fù)成功收費(fèi),無(wú)任何風(fēng)險(xiǎn)。 |
綜合對(duì)比 |
需恢復(fù)所有文件,且要求數(shù)據(jù)100%完整的,只能選擇數(shù)據(jù)解密。但解密費(fèi)用特別高,只能聽(tīng)黑客擺布,存在被騙的風(fēng)險(xiǎn)。 |
勒索病毒 加密文件 底層分析:
我們工程師經(jīng)過(guò)對(duì)各類(lèi)勒索病毒加密的數(shù)據(jù)進(jìn)行底層分析,加密方式各有不同,恢復(fù)方法和技術(shù)也需要具體分析:
1.文件頭部被加密或清空,并在文件尾部生產(chǎn)加密信息,但文件主體還是完好的,此種類(lèi)型數(shù)據(jù)可以進(jìn)行修復(fù),特別是數(shù)據(jù)庫(kù)文件,目前我們能對(duì)ms sql /my sql /oracel/access等常用數(shù)據(jù)庫(kù)進(jìn)行完美修復(fù),修復(fù)的費(fèi)用遠(yuǎn)遠(yuǎn)低于贖金,修復(fù)后,先驗(yàn)證數(shù)據(jù),確認(rèn)后再收費(fèi),安全有保障。
2.文件底層每間隔N扇區(qū)加密N扇區(qū),并在文件尾部生產(chǎn)加密信息,具體間隔多少扇區(qū)和加密多少扇區(qū)各有不同,因文件主體大部分被加密,直接修復(fù)難度極大。如果是數(shù)據(jù)庫(kù)文件,且備份文件較多,或有未被加密較新的備份文件,也能較好修復(fù)。
3.文件底層全部被加密,并在文件尾部產(chǎn)生加密信息,此種加密,目前無(wú)人能修復(fù)和解密,唯一的途徑就是交贖金,拿到黑客的解密程序和秘鑰。國(guó)內(nèi)還有些公司大言不慚的說(shuō)能解密云云,都是忽悠的。簡(jiǎn)單想想就能明白,勒索病毒爆發(fā)以來(lái),全球都面臨數(shù)據(jù)安全威脅,這么多國(guó)際安全廠(chǎng)商卡巴斯基、趨勢(shì),國(guó)內(nèi)的綠盟、360、瑞星等等,都無(wú)能為力,更何況幾個(gè)人的數(shù)據(jù)恢復(fù)公司都能解決,目前國(guó)內(nèi)所有解密都是向黑客交贖金。
勒索病毒 數(shù)據(jù)解密流程:需對(duì)全部文件解密的客戶(hù)請(qǐng)仔細(xì)閱讀。
1.由用戶(hù)方代表、用戶(hù)方技術(shù)人員、軟件廠(chǎng)商人員或維護(hù)人員、我方工程師共同成立應(yīng)急小組,確定需要解密的機(jī)器和文件;
2.發(fā)送樣本文件,用戶(hù)方可隨機(jī)在被加密機(jī)器上拷貝一個(gè)較小的文件,發(fā)給我們工程師,評(píng)估解密費(fèi)用和時(shí)間;
3.雙方商定解密費(fèi)用、時(shí)間,等相關(guān)事宜,簽訂《勒索病毒解密服務(wù)委托協(xié)議》
4解密服務(wù)
勒索病毒 數(shù)據(jù)庫(kù) 修復(fù)流程:只需對(duì)數(shù)據(jù)庫(kù)文件修復(fù)的客戶(hù)請(qǐng)仔細(xì)閱讀
修復(fù)類(lèi)型:ms sql 2000 sql 2005 sql 2008 sql 2012 My sql oracele 各版本
修復(fù)流程:
1.選擇文件較小的庫(kù)文件做為修復(fù)樣本,并找到相同庫(kù)文件的未被加密的備份文件,備份文件時(shí)間越近越好,如沒(méi)有備份,請(qǐng)軟件廠(chǎng)商提供相同庫(kù)結(jié)構(gòu)的空庫(kù)文件;
2.將需要修復(fù)的樣本庫(kù)文件及老備份文件或空庫(kù),發(fā)送到我們的郵箱。
3.工程師對(duì)加密庫(kù)文件進(jìn)行底層分析,并修復(fù),用戶(hù)可請(qǐng)軟件公司協(xié)同測(cè)試修復(fù)效果,繼續(xù)對(duì)其他庫(kù)文件進(jìn)行修復(fù);
4.修復(fù)效果好,用戶(hù)統(tǒng)計(jì)確定需要修復(fù)的庫(kù)文件,將所有需修復(fù)的庫(kù)文件及老備份發(fā)送給我們(文件較大時(shí)將文件拷貝到移動(dòng)硬盤(pán)),我們?cè)u(píng)估修復(fù)時(shí)間及費(fèi)用;
5.全部修復(fù)完成后,我們協(xié)同軟件公司,對(duì)修復(fù)結(jié)果進(jìn)行測(cè)試、驗(yàn)收,確認(rèn)修復(fù)后收費(fèi),無(wú)任何風(fēng)險(xiǎn)。
6.如果數(shù)據(jù)庫(kù)為核心保密數(shù)據(jù)可遠(yuǎn)程處理
特別說(shuō)明:
勒索病毒數(shù)據(jù)庫(kù)修復(fù),請(qǐng)盡量提供未被加密的老備份或者同結(jié)構(gòu)的空庫(kù)文件,備份文件越新,將大大提高修復(fù)效果和減少修復(fù)時(shí)間;
針對(duì)部分軟件數(shù)據(jù)庫(kù)修復(fù),我們可以做到100%修復(fù),修復(fù)后與軟件完美連接,直接運(yùn)行使用!!!
內(nèi)蒙古遠(yuǎn)數(shù)網(wǎng)絡(luò)科技有限公司與360安全深度合作 共同抗擊勒索病毒
遠(yuǎn)數(shù)科技數(shù)據(jù)中心獨(dú)創(chuàng)LS5.0技術(shù)無(wú)視勒索病毒種類(lèi),對(duì)各種勒索病毒加密的各種數(shù)據(jù)庫(kù)皆可恢復(fù)
