图片展示

通告:近期大量财务服务器感染.Locked勒索病毒,了解紧急救援!!!

01

什么是勒索病毒(敲诈病毒)?

勒索病毒是一种恶意的计算机程序,它会阻止受害者进入他们的计算机或者通过高强度加密算法加密受害者的文档(可加密上百种格式文档),并要求他们支付赎金。

02

如何防范勒索病毒?

这10件事情可以保护您以及您的机构免受勒索软件伤害。

1. 制定备份与恢复计划。经常备份您的系统,并且将备份文件离线存储到独立设备...

03

中了勒索病毒的处置方法

中断网络联机;即刻发现,应立刻关机;紧急培训、清查;评估灾情;保存现场状况,请求支持...

04

服务器中勒索病毒后的紧急处理方法

首先断开网络;检查任务管理器,查看相关不明进程并结束相关病毒进程;下载杀毒软件(360、卡巴斯基等)全盘杀毒;备份重要数据;

近期常见勒索病毒

.eight

.lockbit2.0

.devos

.Globeimposter-Alpha865qqz

.devil

.Globeimposter-Beta865qqz

.Globeimposter-Gamma865qqz

.360

.Readinstruction

.makop

.locked

GR Tips

发现中毒后的紧急处理建议

 

 

  1. 第一时间断开网络
    1. 阻断设备与外部入侵者的网络连接,防止设备和数据被进一步破坏。
    2. 阻断设备内网传播的途径。

  2. 谨慎重启或关机
    1. 中毒设备保持运行状态,病毒在运行时盲目重启或关机,可能会导致正在加密的数据遭到永久性丢失。
    2. 首先检查核心数据(如数据库、可用备份)被破坏情况;
      1. 如果还没有被感染则立刻关机,通过硬盘外挂到未感染病毒的设备,然后安全拷贝出数据。
      2. 如果被感染则保持开机断网状态,确保病毒无法横向传播的情况下,寻求专业数据恢复和安全机构根据情况进一步指导处理。

  3. 内网其他未中毒设备:全部紧急断网,一台一台检查(禁止风险进程、启动项)、核心数据离线备份、检查日志保留可疑记录、全盘查杀病毒保留可疑样本,在紧急响应完成后,根据保留信息溯源或分析安全漏洞。

GR Tips

寻求专业救援前准备

 

 

根据勒索病毒的计算机数据加密原理,国瑞团队修复或者解密被加密数据,不限任何扩展名,但需要针对不同病毒家族、版本,了解病毒的特性和加密率,用来决策采取对应的处理方法手段。

所以,当您寻求国瑞团队救援数据或其他专业数据恢复或安全机构的帮助之前,最好掌握一些信息,提前介绍给专业人员,以便我们更快速准确判断和解决灾难事件。

  1. 数据被加密后的形态(如扩展名),数据被加密起始时间,发现中毒时间。
  2. 中毒设备数量,包括服务器数量和PC数量,设备是否断网/重启/关机等状态。
  3. 核心数据、必须恢复数据所在的设备情况、数量,比如一台数据库服务器、一台文件服务器、两台附件服务器等。
    核心数据服务器上,分区数量、分区空间使用量,被加密文件的总数量(比如几百个、几万个、百万级),核心数据大小(比如:数据库总共20个、总大小1T、最大的库100G等),数据备份损失情况,是否有未被加密文件情况。
  4. 阅读上面发现中毒后的紧急处理建议,有条件可以做如下操作:
    1. 提取提供病毒样本、攻击工具样本、被加密文件样本(比如核心数据库.mdf文件或小的.txt\.jpg\.doc\.log文件等)、勒索信息样本(一般是病毒在文件夹里生成的txt文件)等信息。
    2. 提供远程权限(windows尽量使用RDP外的第三方工具),以便专业人员第一时间直接登录设备检查详细情况。
  5. 时间充裕可以立即将被加密数据用移动存储设备或异机设备完整备份一份,确保后期处理数据不在唯一数据样本上操作,因为一旦操作失误就可能永久丢失。

本中心案例数据 更多+

200 家 以上

成功服务企业

50 种 以上

解密病毒变种类型

50 个 以上

服务上门城市

20 亿元以上

挽回企业损失

—— 联系我们    Contact Us ——

24小时应急响应电话:15021662155 (微信同号)

 serve@grit.com.cn

样本提交 2012 - 2020 Copyright © 国瑞IT安全服务中心 沪ICP备09036178号 

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了