2020-04-01 23:09:54
Q:文件特别重要,可否提供付费解密服务?
A:如果查询结果提示暂时无法解密,说明我们的技术人员已对该家族进行研究,但是暂时没有找到技术破解的方案。目前我们不会提供技术破解以外的其他解密方案,也没有可以推荐的第三方服务商。若您认为确有必要寻求付费解密,可自行付费,或寻找第三方相关服务。”
Q:购买密钥需要注意什么?
A:“首先,我们不推荐任何形式的交付赎金行为。若您执意要购买密钥,我们建议应注意以下几点”:
不建议直接向黑客付款。直接向黑客付款存在很大风险,第一是可能拿到的解密工具并不能使用 ,第二密钥不对,第三再次或多次向你索要赎金。
通过淘宝、搜索引擎或其它方式联系到的解密服务商,开始工作前一定要签订合同,明确解密不成功是否需要付款等问题,必要时可要求上门服务。
不要咨询太多家第三方商家。因为第三方大多都是去找黑客购买密钥。过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询,可能导致黑客认为你的数据特别重要,而提高赎金。
不要过度描述自己文件的重要性,可能会造成解密商或黑客提高佣金或赎金要求。
Q:是否会在内网中横向转播?
A:大部分黑客在投毒之前会先尝试拿到内网中更多机器的权限,手段不限,常见手段如下:
弱口令攻击,包括远程桌面弱口令,数据库弱口令,tomcat弱口令,共享文件夹弱口令等等。
漏洞攻击 :永恒之蓝漏洞,java漏洞,weblogic漏洞,泛微OA漏洞等等。
还有一个常见非主动传播情况,中毒机器所在网段存在部分机器设置了共享文件夹,并且未设置访问权限,导致中毒机器能直接访问到该机器的文件,从而导致文件被加密。
因此,内网中中毒机器应及时断网,找到中毒原因后再做处理。
Q:我不想向黑客妥协,你们什么时候能开发出解密工具?
A:解密时间无法估计。若勒索病毒已知,而我们当前又无法给出技术破解方案,说明该勒索病毒的加密算法是不存在技术漏洞的。那只能等待黑客的私钥被公开或泄露,或是有其他的技术性突破。而这些都是无法做出时间上的预期的。
Q:是否可以通过数据恢复的方法恢复文件?
A:少部分勒索病毒加密文件时,没有覆盖原文件,而仅仅使用删除的方法,所以有机会通过数据恢复软件找回部分文件。
Q:是否可以通过数据修复的方法恢复文件?
A:由于很多分勒索病毒加密文件时为了保证效率,只加密文件头部固定大小的数据。所以部分数据库有机会通过数据修复的方法进行恢复。其他文件通过该方法恢复的机会很小。
防护篇:
Q:不知道为什么就中招了,想知道为什么被攻击了 。
A:下面总结几个常见的中毒原因:
开启了远程桌面 ,设置的密码太简单、或使用初始密码,被登录投毒。太简单、或使用初始密码,被登录投毒。
下载了激活工具或者破解软件导致中毒文件被加密。
设置了共享文件夹,局域网内有其它机器中招,导致共享文件夹的数据被其它机器的病毒加密。
运行了钓鱼邮件中的附件导致中毒文件被加密。
系统中存在漏洞导致中毒文件被加密。
U盘蠕虫导致文件被加密。
其它弱口令攻击,例如mysql,tomcat等。
对于不确定什么原因导致文件被加密的,可以提交反勒索服务,联系我们的工作人员协助您来排查具体中招原因。
Q:我插入U盘文件被加密了,那文件还能备份吗?
A:插入U盘,U盘中的文件被加密了,说明勒索病毒还在系统中运行。需要结束掉该勒索病毒。被加密的文件本身不带病毒。只需防范好U盘蠕虫的运行,就可以放心备份到其他地方。
Q:我的系统需要重装吗?
A:建议是找到具体中招原因后再重装。因为在过往的案例中,存在因病毒入侵途径未被找到和及时封堵所导致的多次中招案例。且存在付款后再次被加密案例。
Q:我安装了NSAtools为什么还是中了勒索病毒?
A:NSAtools只是一个针对“WANNACRY勒索病毒的防护工具”,并非是针对所有勒索病毒的工具。勒索病毒的传播渠道很多,安装了NSA只是关闭了一条勒索病毒的传播渠道。
Q:我要怎么做好防护才能避免再次中招?
A:以下总结了个人和企业需要做的防护措施:
一、针对个人用户的安全建议
对于普通用户,我们给出以下建议,以帮助用户免遭勒索病毒攻击。
(一)养成良好的安全习惯
电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
可使用安全软件的漏洞修复功能,第一时间为操作系统和IE、Flash等常用软件打好补丁,以免病毒利用漏洞入侵电脑。
尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
(二)减少危险的上网操作
不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
(三)采取及时的补救措施
安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务申请赔付,以尽可能的减小自身损失。
二、针对企业用户的安全建议
及时给办公终端和服务器打补丁修复漏洞,包括操作系统以及第三方应用的补丁,尤其是对外提供服务的各种第三方应用,这些应用的安全更新容易被管理员忽视。
如果没有使用的必要,应尽量关闭不必要的服务与对应端口,比如:135、139、445、3389等,不对外提供服务的设备不要暴露于公网之上。对外提供服务的系统,应保持在较低权限。
企业用户应采用具有足够复杂的登录口令,来登录办公系统或服务器,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。
提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,远程办公使用到的其它计算机也应定期查杀木马。
检测使用的第三方软件是否有在系统中新增账户,如果有新增账户请确保是足够复杂的口令。特别是安装有金万维、金蝶、用友、瑞友等产品的用户。检测系统账户的同时还检测一下数据库账户口令是否足够复杂。
360安全卫士功能篇:
360勒索病毒搜索引擎
通过360勒索病毒搜索引擎可以确认当前勒索病毒属于哪个家族,是否可以解密。(https://lesuobingdu.360.cn/)
360解密大师
能解密的勒索病毒,通过解密大师就能扫描到。并对文件进行解密。
360文档卫士
可以通过文档卫士备份保护文件。默认保护*.doc,*.docx,*.xls,*.xlsx,*.ppt,*.pptx,*.pdf。当然你还可以通过自定义规则来设置你想保护的文件格式。
弱口令防护功能:
360安全卫士的系统安全防护功能,能针对远程桌面弱口令,mysql弱口令,mssql弱口令进行拦截。但仍不建议用户使用弱口令。有的密码黑客可能只需要几次就能拿到密码。
漏洞防护能力
360安全卫士漏洞攻击有很强的防护能力,对于新增漏洞也会第一时间支持对该漏洞的拦截支持。以下是2019年的部分案例:
新增对Outlook远程代码执行漏洞拦截(CVE-2017-11774,它允许攻击者逃离Outlook沙箱并在底层操作系统上运行恶意代码)。
新增对致远OA系统远程任意文件上传漏洞拦截支持(该漏洞会造成攻击者恶意上传恶意代码到用户系统)。
新增对破坏力堪比“永恒之蓝”的高危远程桌面漏洞(CVE-2019-0708)的拦截支持。
新增对Windows 10下多个本地提权的0day漏洞拦截支持。
新增对IE11处理MHT文件方式时可绕开IE10浏览器保护漏洞拦截支持。(该漏洞能在用户不知情的情况下,被黑客用来发起钓鱼网络攻击,窃取本地文件)。
新增对Winrar远程代码执行漏洞拦截支持(CVE-2018-20250,unacev2.dll任意代码执行漏洞)。
挂马网站防护能力
针对勒索病毒的防护,更高效可靠的防护时间点应该是其攻击传播阶段。其中GandCrab、Paradsie两个家族都利用到了网站挂马来传播勒索病毒,针对这一情况,360安全大脑能第一时间监控并识别该网站的恶意行为并作出拦截。
钓鱼邮件防护能力
钓鱼邮件一直以来都是勒索病毒传播的重要渠道,冒充国际快递,国际警方等诱惑用户下载运行邮件附件的案例数不胜数。针对这一情况,360安全大脑精准识别邮件附件中潜藏的病毒木马,替用户快速检测附件中是否存在问题。
U盘蠕虫防护
针对U盘蠕虫类的传播方式,360 U盘助手在原有检测基础上增加了更多对勒索病毒相关信息的识别,在U盘接入系统时即可报出其中暗藏的病毒木马。
综合防护能力
针对勒索病毒的行为识别,一直是360安全卫士防御勒索病毒的重要手段。通过对智能识别引擎的不断训练,360对勒索病毒的检出能力获得了进一步提高,再一项勒索病毒的重要防护能力,就是360安全卫士所使用的智能诱捕技术。通过对设置的陷阱文档的随机化与位置优化,使得我们的智能诱捕技术未被任何一家流行的勒索病毒免疫,同时也能保证勒索病毒的全命中。