勒索病毒來襲,如何做好防范和補(bǔ)救,?
從5月12日開始,,全球多個(gè)國家爆發(fā)勒索病毒攻擊,,中國大批高校也出現(xiàn)感染情況,一些師生的電腦文件被病毒加密,,只有支付贖金才能恢復(fù),。對此,,校園網(wǎng)用戶不必過度驚慌,做好安全防范和補(bǔ)救措施可以避免遭受不必要的損失,。
勒索病毒實(shí)時(shí)感染情況
本次感染事件首先在英國,、俄羅斯等多個(gè)國家爆發(fā),新聞報(bào)道有多家企業(yè),、醫(yī)療機(jī)構(gòu)的系統(tǒng)中招,,損失非常慘重。安全機(jī)構(gòu)全球監(jiān)測已經(jīng)發(fā)現(xiàn)目前多達(dá)74個(gè)國家遭遇本次敲詐者蠕蟲攻擊,。從5月12日開始,,國內(nèi)的感染傳播量也開始急劇增加,在多個(gè)高校和企業(yè)內(nèi)部集中爆發(fā)并且愈演愈烈,。專業(yè)安全公司針對校園網(wǎng)勒索病毒事件的監(jiān)測數(shù)據(jù)顯示,,國內(nèi)首先出現(xiàn)的是ONION病毒,平均每小時(shí)攻擊約200次,,夜間高峰期達(dá)到每小時(shí)1000多次,;WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊,并在中國的校園網(wǎng)迅速擴(kuò)散,,夜間高峰期每小時(shí)攻擊約4000次,。
某高校機(jī)房遭受勒索病毒攻擊
與以往不同的是,此類新變種利用了NSA黑客工具包中的“永恒之藍(lán)”0day漏洞,,通過445端口(文件共享)在內(nèi)網(wǎng)進(jìn)行蠕蟲式感染傳播,,沒有安裝安全軟件或及時(shí)更新系統(tǒng)補(bǔ)丁的內(nèi)網(wǎng)用戶就極有可能被動(dòng)感,所以目前感染用戶主要集中在企業(yè),、高校等內(nèi)網(wǎng)環(huán)境下,。一旦感染該蠕蟲病毒變種,系統(tǒng)重要資料文件就會(huì)被加密并勒索高額的比特幣贖金,。
【影響范圍】Windows XP,、Windows 7、Windows 8,、Windows Server 2008,、Windows Server 2003、Windows Vista,、已關(guān)閉自動(dòng)更新的win10用戶
【不受影響的設(shè)備】安卓手機(jī),、iOS設(shè)備、MacOS設(shè)備,、Unix設(shè)備,、Win10設(shè)備(最新版本) ????
感染W(wǎng)NCRY勒索病毒的用戶系統(tǒng)彈出的窗口
本輪勒索病毒傳播主要包括Onion、WNCRY兩大家族變種,,中招系統(tǒng)中的文檔,、圖片,、壓縮包、影音等常見文件都會(huì)被病毒加密,,然后向用戶勒索高額比特幣贖金,。WNCRY變種一般勒索價(jià)值300~600美金的比特幣,而onion變種甚至要求用戶支付3個(gè)比特幣,,以目前的比特幣行情,,折合人民幣在3萬左右。此類病毒一般使用RSA等非對稱算法,,沒有私鑰就無法解密文件。WNCRY敲詐者病毒要求用戶在3天內(nèi)付款,,否則解密費(fèi)用翻倍,,并且一周內(nèi)未付款將刪除密鑰導(dǎo)致無法恢復(fù)。從某種意義上來說這種敲詐者病毒“可防不可解”,,需要安全廠商和用戶共同加強(qiáng)安全防御措施和意識,。
【安全防范措施建議】
1,、下載免疫工具,、專殺工具、文件恢復(fù)工具:
360公司免疫工具下載鏈接:http://b.#/other/onionwormimmune
安天公司免疫工具下載鏈接:http://www.antiy.com/response/WannaCry/Vaccine_for_WannaCry.zip
360公司專殺工具下載鏈接:http://b.#/other/onionwormkiller
安天公司專殺工具下載鏈接:http://www.antiy.com/response/WannaCry/ATScanner.zip
360公司文件恢復(fù)工具下載鏈接:https://dl.360safe.com/recovery/RansomRecovery.exe
?。?、首先運(yùn)行免疫工具,對勒索軟件感染傳播途徑進(jìn)行有效阻斷,,實(shí)現(xiàn)主機(jī)免疫,;
3,、免疫后,,使用勒索軟件專殺工具對已經(jīng)感染的主機(jī)進(jìn)行勒索軟件的清除(但無法解密已經(jīng)被加密的文件);
?。?、開啟系統(tǒng)自動(dòng)更新,并檢測更新進(jìn)行安裝,。
【已感染用戶的補(bǔ)救方案】
1,、首先拔掉網(wǎng)線,與內(nèi)網(wǎng)其他機(jī)器隔離,;
2,、使用蠕蟲勒索軟件免疫工具進(jìn)行主機(jī)免疫;
3,、使用蠕蟲勒索軟件專殺工具清除病毒,;
?。础⑹褂?60公司文件恢復(fù)工具恢復(fù)被刪除的文件,,盡量減少損失,;(因勒索軟件工作原理是將源文件讀取后加密寫入硬盤,再刪除源文件,,保留加密文件,,該恢復(fù)工具可將已刪除的文件盡量恢復(fù),并不能保證完全恢復(fù)出來)
4,、使用PE盤進(jìn)入操作系統(tǒng),,將可用文件進(jìn)行備份,并對備份數(shù)據(jù)進(jìn)行離線處理,;
5,、重裝系統(tǒng)后重復(fù)2、3步驟,,開啟系統(tǒng)自動(dòng)更新,,并檢測更新進(jìn)行安裝。
最后,,切記:要養(yǎng)成隨時(shí)備份文件的好習(xí)慣,!
附:【網(wǎng)絡(luò)信息技術(shù)中心相關(guān)通知】
【緊急通知】關(guān)于近日大量學(xué)校電腦感染勒索病毒的提醒公告