首页 运维日常🚧,文章分类

前言

早上运营监控的人和我说系统平台进不去了,我想这估计是程序写的烂+服务器不太行又宕机了,于是乎我开始了日常的运维工作登录服务器检查程序是否正常运行。结果一个txt文档映入我的眼帘,起初我以为是程序报错,但是感觉不太对我赶紧掏出了Google翻译。
1-img

翻译的大概内容就是我的所有文件被加密了,需要联系这两个邮箱来解密我的文件

正文

在得知是勒索病毒以后我开始在360勒索病毒数据库里搜索特征,可以通过上传被加密的文件和上面的病毒文档来确定病毒的类型。但是并没有搜索到,可能这是最近新的变异版本,我只好加群求助!殊不知这款病毒最近正在疯狂肆虐,很多个人、学校、企业都有这样的案例,并且360工程师回复我这是Buran家族的勒索病毒,通过远程桌面这个传播途径进行传播感染。
2-img

如果需要解密这些被病毒加密的文件只有等安全厂商破解密钥或者黑客的密钥泄露才能破解,或者找一些安全解密厂商(我也没试过他们能不能解除),如果文件非常重要那就只能乖乖的黑客交钱,随后我也试探了一下黑客索要的赎金 1500美金通过比特币交易

3-img

我能给么?这显然不能给不能向黑恶势力低头啊!况且你打了钱他不给你解密也有这种可能

处置

一、阻止病毒继续扩散

发现中毒机器,首先应先阻断勒索病毒继续加密文件和进一步扩散。有两个可行方案,但无论采取哪个方案,都应在第一时间对中毒机器进行断网处理(关闭网络能阻止勒索病毒在内网横向传播以及攻击者对当前设备的持续控制)。具体方案如下:

若发现设备中还有未被加密文件,应及时切断网络并关闭计算机。关闭计算机能及时阻止勒索病毒继续加密文件,且避免再次直接开机。
若发现文件均已被加密,可切断网络之后,联系专业技术人员,查看病毒程序是否还在运行。若还在运行,则可尝试抓取内存dump,为后续解密提供帮助。

二、 了解攻击具体情况

  • 哪些机器受到攻击,影响情况如何,是否存在备份,备份是否可用。
  • 哪些机器未受到攻击,是否可暂时隔离下线处理等。
  • 机器感染勒索病毒的开始时间。
  • 网络拓扑情况,中招机器和未中招机器在网络中的分布情况等。
  • 存储有敏感信息的设备是否被异常访问,是否存在数据泄露风险。

对企业信息资产的全面排查,是避免由于慌乱出现遗漏,为后续工作埋下隐患。此处需要结合企业自身设备情况进行灵活排查。
对于中招情况不明,已经关闭下线的机器,如需排查损失情况,建议对磁盘或环境做备份后,在隔离网内开机或上线查看,以免有残存的开机自启动病毒再次启动后加密文件。另外需要主要的是,管理员通过远程登录到被感染设备查看情况时,一定不要将本地磁盘映射过去。因为勒索病毒可能还在运行,映射过去会导致该磁盘文件被加密。

安全加固

个人

1.针对个人的话建议安装火绒安全等杀毒软件(360全家桶腾讯全家桶)

2.对重要的文档进行备份,可以使用云盘移动硬盘等

3.电脑密码设置尽量复杂,包括数字、大小写、符号,不使用弱密码

4.不要浏览来路不明的色情网站、赌博网站等不良信息,此类网站经常挂有木马等程序

5.不明的软件尽量先在沙箱中进行运行,从而避免木马对系统的破坏

企业

一、网络安全架构

对业务、数据、服务分离,使用防火墙对VLAN 和子网进行分离,减少因为单点论造成大面积的病毒感染传播。

二、内外网分离

合理设置DMZ区域,对外服务的设备严格控制。减少外部暴露面。对外网设备比如web服务器进行虚拟化部署,定时快照进行数据备份。

三、安全设备部署

在企业终端和网络节点部署安全设备,比如防火墙行为AC等必要的安全审计设备

四、权限控制

包括业务流程的权限控制,员工上网的行为控制(这里就可以用到上网行为管理AC)来降低员工访问不明的网络进行有效的拦截

五、其他

定期检测内网是否有未经允许对 3389、445、139 等端口开放的设备。 做好数据备份

总结

最后还是一句话,安全无小事。等到和我一样被加密了哭都没用,好了不说了我去重装系统了



文章评论

    xnzxlb 站长ChromeAndroid
    25天 前   回复

    装完系统的我已经累瘫

目录