狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

自2017年5月WannaCry（永恒之藍勒索蠕蟲）大規模爆發以來，勒索病毒對政企機構和網民的威脅極大：企業數據泄露風險不斷上升，數百萬甚至上億贖金的勒索案件不斷出現。

2021年3月，全球新增活躍勒索病毒：FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear還處于開發階段，DearCry是本月最先被捕獲使用Exchange漏洞投發勒索病毒的家族，新出現的PhoenixCryptoLocker可能與Evil黑客組織相關。

勒索病毒給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。本文介紹了一些勒索病毒的防范和處理措施，希望能夠幫助讀者免受勒索病毒侵害。

一、如何判斷病情

如何判斷計算機是否中了勒索病毒呢？勒索病毒有區別于其他病毒的明顯特征：加密受害者主機的文檔和數據，然后對受害者實施勒索，從中非法謀取私利。勒索病毒的主要目的是為了勒索，黑客在植入病毒完成加密后，會提示受害者您的文件已經被加密了無法再打開，需要支付贖金才能恢復文件。如果計算機出現了以下特征，可表明已經中了勒索病毒。

1、電腦桌面被篡改

服務器被感染勒索病毒后，最明顯的特征是電腦桌面發生明顯變化，即：桌面通常會出現新的文本文件或網頁文件，這些文件用來說明如何解密的信息，同時桌面上顯示勒索提示信息及解密聯系方式。

下面為電腦感染勒索病毒后，幾種典型的桌面發生變化的示意圖。

2、文件后綴被篡改

服務器感染勒索病毒后，另外一個典型特征是：辦公文檔、照片、視頻等文件的圖標變為不可打開形式，或者文件擴展名被篡改。一般來說，文件擴展名會被改成勒索病毒家族的名稱或其家族代表標志，如：GlobeImposter家族的擴展名為dream、TRUE、CHAK等；Satan家族的擴展名有satan、sicck；Crysis家族的擴展名有ARROW、arena等。

二、如何進行自救

1、正確處置方法

(一)隔離中招主機

處置方法

當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網或斷電；訪問控制主要是指對訪問網絡資源的權限進行嚴格的認證和控制。

1）物理隔離

物理隔離常用的操作方法是斷網和關機。

斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

2）訪問控制

訪問控制常用的操作方法是加策略和修改登錄密碼。

加策略主要操作步驟為：在網絡側使用安全設備進行進一步隔離，如防火墻或終端安全監測系統；避免將遠程桌面服務（RDP，默認端口為3389）暴露在公網上（如為了遠程運維方便確有必要開啟，則可通過VPN登錄后才能訪問），并關閉445、139、135等不必要的端口。

修改登錄密碼的主要操作為：立刻修改被感染服務器的登錄密碼；其次，修改同一局域網下的其他服務器密碼；第三，修改最高級系統管理員賬號的登錄密碼。修改的密碼應為高強度的復雜密碼，一般要求：采用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）。

處置原理

隔離的目的，一方面是為了防止感染主機自動通過連接的網絡繼續感染其他服務器；另一方面是為了防止黑客通過感染主機繼續操控其他服務器。

有一類勒索病毒會通過系統漏洞或弱密碼向其他主機進行傳播，如WannaCry勒索病毒，一旦有一臺主機感染，會迅速感染與其在同一網絡的其他電腦，且每臺電腦的感染時間約為1-2分鐘。所以，如果不及時進行隔離，可能會導致整個局域網主機的癱瘓。

另外，近期也發現有黑客會以暴露在公網上的主機為跳板，再順藤摸瓜找到核心業務服務器進行勒索病毒攻擊，造成更大規模的破壞。

當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，防止病毒繼續感染其他服務器，造成無法估計的損失。

(二)排查業務系統

處置方法

在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

處置原理

業務系統的受影響程度直接關系著事件的風險等級。評估風險，及時采取對應的處置措施，避免更大的危害。

另外，備份系統如果是安全的，就可以避免支付贖金，順利的恢復文件。

所以，當確認服務器已經被感染勒索病毒后，并確認已經隔離被感染主機的情況下，應立即對核心業務系統和備份系統進行排查。

(三)聯系專業人員

在應急自救處置后，建議第一時間聯系專業的技術人士或安全從業者，對事件的感染時間、傳播方式，感染家族等問題進行排查。

2、錯誤處置方法

(一)使用移動存儲設備

錯誤操作

當確認服務器已經被感染勒索病毒后，在中毒電腦上使用U盤、移動硬盤等移動存儲設備。

錯誤原理

勒索病毒通常會對感染電腦上的所有文件進行加密，所以當插上U盤或移動硬盤時，也會立即對其存儲的內容進行加密，從而造成損失擴大。從一般性原則來看，當電腦感染病毒時，病毒也可能通過U盤等移動存儲介質進行傳播。

所以，當確認服務器已經被感染勒索病毒后，切勿在中毒電腦上使用U盤、移動硬盤等設備。

(二)讀寫中招主機上的磁盤文件

錯誤操作

當確認服務器已經被感染勒索病毒后，輕信網上的各種解密方法或工具，自行操作。反復讀取磁盤上的文件后反而降低數據正確恢復的概率。

錯誤原理

很多流行勒索病毒的基本加密過程為：

1）首先，將保存在磁盤上的文件讀取到內存中；

2）其次，在內存中對文件進行加密；

3）最后，將修改后的文件重新寫到磁盤中，并將原始文件刪除。

也就是說，很多勒索病毒在生成加密文件的同時，會對原始文件采取刪除操作。理論上說，使用某些專用的數據恢復軟件，還是有可能部分或全部恢復被加密文件的。

而此時，如果用戶對電腦磁盤進行反復的讀寫操作，有可能破壞磁盤空間上的原始文件，最終導致原本還有希望恢復的文件徹底無法恢復。

三、如何恢復系統

1、歷史備份還原

如果事前已經對文件進行了備份，那么我們可以直接從云盤、硬盤或其他災備系統中，恢復被加密的文件。值得注意的是，在文件恢復之前，應確保系統中的病毒已被清除，已經對磁盤進行格式化或是重裝系統，以免插上移動硬盤的瞬間，或是網盤下載文件到本地后，備份文件也被加密。

事先進行備份，既是最有效也是成本最低的恢復文件的方式。

2、解密工具恢復

絕大多數勒索病毒使用的加密算法都是國際公認的標準算法，這種加密方式的特點是，只要加密密鑰足夠長，普通電腦可能需要數十萬年才能夠破解，破解成本是極高的。通常情況，如果不支付贖金是無法解密恢復文件的。

但是，對于以下三種情況，可以通過各大安全廠商提供的解密工具恢復感染文件：

1）勒索病毒的設計編碼存在漏洞或并未正確實現加密算法；

2）勒索病毒的制造者主動發布了密鑰或主密鑰；

3）執法機構查獲帶有密鑰的服務器，并進行了分享。

通過查詢可靠安全廠商的網站，可以了解哪些勒索病毒可以被解密，同時采取相應措施。

3、重裝系統

當文件無法解密，也覺得被加密的文件價值不大時，也可以采用重裝系統的方法，恢復系統。但是，重裝系統意味著文件再也無法被恢復。另外，重裝系統后需更新系統補丁，并安裝殺毒軟件和更新殺毒軟件的病毒庫到最新版本，而且對于服務器也需要進行針對性的防黑加固。

4、如何加強防護

雖說部分勒索病毒目前已有解密工具，但勒索病毒制作成本低、利潤高，新型勒索病毒層出不窮，并不是所有的勒索病毒都能進行解密。因此，加強勒索病毒的防護比中了勒索病毒之后再進行補救要有效得多。

對于高校師生，加強防護主要有以下相應措施：

養成良好的安全習慣

1）電腦應當安裝具有云防護和主動防御功能的安全軟件，不隨意退出安全軟件或關閉防護功能，對安全軟件提示的各類風險行為不要輕易放行。

2）使用安全軟件的第三方打補丁功能對系統進行漏洞管理，第一時間給操作系統和常用軟件打好補丁，定期更新病毒庫，以免病毒利用漏洞自動入侵電腦。

3）電腦設置的口令要足夠復雜，包括數字、大小寫字母、符號且長度至少應該有8位，不使用弱口令，以防攻擊者破解。

4）重要文檔數據應經常做備份，一旦文件損壞或丟失，也可以及時找回。

減少危險的上網操作

5）不要瀏覽來路不明的不良信息網站，這些網站經常被用于發動掛馬、釣魚攻擊。

6）不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。也不要輕易打開擴展名為js、vbs、wsf、bat、cmd、ps1等腳本文件和exe、scr、com等可執行程序，對于陌生人發來的壓縮文件包，更應提高警惕，先使用安全軟件進行檢查后再打開。

7）電腦連接移動存儲設備，如U盤、移動硬盤等，應首先使用安全軟件檢測其安全性。

8）對于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運行，從而避免木馬對實際系統的破壞