专家预测第二波勒索病毒攻击即将到来!如何深度挽救数据?

幸运草
幸运草
幸运草
1055
文章
3
评论
2021年11月18日21:18:46
评论
10

自动化运维工具 salt 安装以及使用

到 minoin节点查看日志 vim  /var/log/salt/minion 2020-09-12 14:48:18,182 [salt.crypt       :1081][ERROR ][19925] The master key has change…

北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。截止到5月13日23时,病毒影响范围进一步扩大,包括企业、医疗、电力、能源、银行、交通等多个行业均遭受不同程序的影响。

专家预测第二波勒索病毒攻击即将到来!如何深度挽救数据?

今天一大早,全网的WannaCry蠕虫病毒攻击突然减弱消退了!所有这一切功劳来自于英国研究人员@malwaretech,他通过逆向发现WannaCry代码中有一个特殊域名地址:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

这就像随机敲打出来的域名。与此同时,研究人也发现,昨天之前,网络上完全没有针对这个域名的访问流量,仅昨天一天时间,这个域名的访问量就达到每小时1400多次。

 

不可思议的是,@malwaretech竟然发现,该域名是个未经注册域名,出于职业习惯,他打算进行一些sinkhole攻击,于是他果断出手,花费了8.29英镑就把它注册在自己名下。注册成功后,他发现这个域名可以接收到世界各国电脑系统的连接请求,这难道是WannaCry的C2域名吗?随着各路安全人员的逆向深入,发现该域名像是病毒制作者为防止事态失去控制,而故意留下的一个紧急停止开关,因为逆向代码中有这样一段程序逻辑:

专家预测第二波勒索病毒攻击即将到来!如何深度挽救数据?

意思是这样的:请求这个域名,如果该域名存在,则退出;如果该域名不存在,则继续攻击….,GOD,该域名竟然控制着WannaCry病毒的传播,它就是WannaCry病毒传播的“紧急开关”(kill switch )。@malwaretech的随手注册,立了大功!,他在推特中说道,“在注册这个域名之前,我完全不知道能有此效果,这完全是个意外之举。”

专家预测第二波勒索病毒攻击即将到来!如何深度挽救数据?

虽然WannaCry蠕虫传播被临时“制止”了,但这只能阻止其通过网络继续感染传播,并不能防止本机中毒被加密勒索。而且,从当前情况来看,我国还在处于感染传播严重阶段,从malwaretech动态图分析,我国华东多个地区内还继续有WannaCry感染情况。

 

另外,据安全人员表示,这还没完,攻击者可能还会发起第二波WannaCry攻击,新一波的变异WannaCry程序将不会内置“紧急开关”(kill switch)了,到时这种WannaCry升级版的传播感染态势将不可预计。希望人们尽快利用这段时间及时修复补丁,采取相关预防措施。

 

在梳理整件事情并给大家提供方法论之前,我们需要特别提醒广大用户,电脑里的重要文件及资料一定要养成备份的好习惯!要备份要备份要备份!重要的事情说三遍,记住了吗?

预防中招办法

专家预测第二波勒索病毒攻击即将到来!如何深度挽救数据?

网络层面

目前利用漏洞进行攻击传播的蠕虫开始泛滥,安全专家强烈建议网络管理员在网络边界的防火墙阻断445端口的访问,确认内网内电脑已经全部安装MS17-010补丁或关闭server服务。

终端层面

暂时关闭server服务

检测系统是否开启server服务:

1、打开开始按钮,点击运行,输入cmd,点击确定

2、输入命令:netstat -an,回车

3、查看结果中是否还有445端口

专家预测第二波勒索病毒攻击即将到来!如何深度挽救数据?

如果发现445端口开放,需要关闭server服务,以win10系统为例,操作步骤如下:

点击开始按钮,在搜索框输入cmd,点击菜单上出现的cmd图标,鼠标右键选择以管理员身份运行,在出现的cmd窗口中执行“net stop server”命令

专家预测第二波勒索病毒攻击即将到来!如何深度挽救数据?

感染处理

对于已经感染勒索蠕虫的机器建议隔离处理。

根治方法

对于win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复“永恒之蓝“攻击系统的漏洞,请立即给电脑安装此补丁。出于基于权限最小化的安装实践,建议用户关闭并非需使用的server服务,操作方法见 应急处置方法节。

 对于window xp/2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具“检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。这些老操作系统的机器建议加入淘汰替换队列,尽快升级高版本系统。

 

数据挽救方法

专家预测第二波勒索病毒攻击即将到来!如何深度挽救数据?

360除了第一时刻推出防护东西外,第一时刻深入分析病毒原理,发现有也许能恢复文件的急救计划,所以咱们独家推出了“敲诈病毒”文件恢复工具,尽管成功概率会遭到文件数量等多重要素影响,但仍然有时机恢复被加密被锁死的文件,越早操作,成功率越高。

运维笔记丨故障处理指南

1.故障处理原则 故障处理的原则只有两个: 以恢复业务优先 及时升级 1.1 恢复业务优先 恢复业务优先是指,不管在任何情况下,也不管任何级别的故障,都要先做到恢复业务,这个和故障定位不同,也有很多人会产生歧义,觉得如果不找到问题的根源,如何能恢复业务,下面举…

  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 加入Q群
  • QQ扫一扫
  • weinxin
幸运草
告诉你怎样处置WannaCry勒索病毒并恢复数据 劫持

告诉你怎样处置WannaCry勒索病毒并恢复数据

开发运维配置繁杂,是时候给应用架构做减法了   “Less is more”是路德维希·密斯·凡德罗在建筑领域提出的观点,近些年来,这一观点不断被用于生活中的其他领域。在软件开发世界中,也有对“Les...

发表评论