勒索病毒预防方法

国瑞IT安全中心是北京爱维科科技发展有限公司旗下服务平台，服务于中小企业、外贸、互联网行业、软件、O2O、电商等行业，已精诚服务上千家企业。公司的创立者为国内较早从事互联网安全技术方面的专业人士，在安全渗透、网站安全、服务器安全维护、病毒防御、内部网络安全等方面有深厚的积累和独到的创新。 

病毒名称：.Chian .Tiger .OX .Rat .Dragon .Hogse .Dog .Monkey .Sanke .Pig .4444后缀勒索病毒

病毒类型：勒索病毒 （黑客勒索的不是人民币，而是一种叫bitcoin的匿名货币<比特币>）

作恶手法：AES或 RSA算法批量加密上百种后缀文件类型或者应用程序，并且把原来的文件名为XX.mdf.RESERVE 或者 WL.doc.RESERVE或者XX.wallet 或者XX.CHAK .TRUE .SHUNK .GOTHAM .GRANNY .RESERVE .LIN .YAYA .SEXY .BUNNY .FREEMAN等等后缀

危险等级：★★★★★ （最高级别） 

入侵手段：远程控制协议漏洞（RDP弱口令），远程密码泄露。 

病毒特征：黑客留下了他们的联系方式在所有的被加密文件上，比如reserve_player@aol.fr 或者reserve_player11@india.com 或者payday@cock.li 或者fuck4u@cock.li或者mr_chack@aol.com或者mr_chack33@india.com，sexy_chief@aol.com,lin_chao1@aol.com,true_offensive@aol.com，freeman.dor@aol.com，smarty_bunny@aol.com

如何预防：大家自己对症下药，先上防御杀毒，把历年所有未打齐的安全补丁打上（如果有条件还是上windows server 2016)，修改远程控制账户密码，做好密码的管理工作，异地备份数据，异地备份数据，异地备份数据!!!其中勒索病毒，会留下一个how_to_back_files.html 又或者how_to_back_files.txt文件，文件内容如下：

1.高效的数据备份：组织必须对其存储的所有关键数据采用常规数据备份和恢复计划。应测试备份，并且备份数据必须存储在单独的设备中，最好是离线。

2.定期补丁更新：应用程序补丁和操作系统补丁必须是最新的并经过测试，以避免任何潜在的漏洞。高效的补丁管理通过可利用的弱链接降低了攻击的可能性。

3.限制使用提升权限：组织应遵循用户访问的受限权限模型，以减少他们安装和运行不需要的软件或应用程序的机会。

4.防病毒更新：系统必须安装最新的防病毒软件，并且必须通过它扫描所有下载的文件。

5.实施应用程序白名单：组织必须遵循应用程序白名单过程，以防止系统和网络被恶意或未经授权的应用程序感染。

6.创建用户意识：用户是网络安全中最薄弱的环节，通过适当的培训对他们进行培训非常重要。安全专业人员必须了解此领域的最新趋势，并需要向用户介绍垃圾邮件和网络钓鱼攻击。

7.电子邮件保护：组织必须密切关注他们的电子邮件。他们应该阻止来自可疑来源的附件的电子邮件。

8.端点保护：组织必须通过防止恶意文件运行来保护端点。

9.培养良好的安全实践：组织在浏览Web时必须保持良好的安全习惯和安全实践，并且必须通过适当的控制来保护数据

遭遇勒索病毒，千万不要惊慌，第一步：切断网络   第二步：安装360或其他杀毒软件进行杀毒操作，防止病毒原体残留，感染其他介质  第三步：先把已加密的重要文件，备份至移动硬盘！！！很多的人都喜欢用恢复软件尝试文件，其实这样做是徒劳的，不仅无法恢复，反而会损坏文件本身。最佳方案是根据我上面所说的来做，以及寻找专业数据恢复公司，才是最佳方案。

国瑞IT长期以来从事大数据分析及软件开发，针对勒索病毒我可提供解决方案：

1.数据恢复：Mysql  Oracle SqlServer 等等数据库专业恢复。

2.数据解密：数据可100%恢复正常。