我们翻出火绒工程师压箱底的勒索病毒自救秘籍……

2024-04-22 17:21:26 浏览数 (1)

虽然勒索病毒目标以企业为主,但个人用户也同样是其顺手牵羊的对象,而且套路层出不穷:“老板”发来的文件点不点?中大奖的邮件看不看?免费的破解软件用不用?甚至运行灰色软件提示的退出安全软件“保平安”的要求答不答应?

这些陷阱一旦踩下去,搞不好就遇到勒索病毒,这不最近B站大V“歪果仁研究协会”就疑似因下载激活工具被多款勒索病毒光顾,导致大量重要资料被加密。

于老师表示:“勒索病毒本身原理并不复杂,可怕的是其加密行为。一旦加密行为完成,即使查杀病毒也无法解密。因此,对付勒索病毒,除了做好防御之外,还需要掌握一些自救的正确姿势,尽量降低损失。”

首先,自救的前提是知道是否感染勒索病毒。一般可以通过桌面和文件后缀名的改变来判断。

1、桌面变动

勒索病毒会修改用户桌面的壁纸,或者在桌面显示新的文件,提供勒索信息,通知用户中毒,并引导如何缴纳赎金解密。

2、文件后缀名被统一修改

勒索病毒运行后可以加密图片、文档、表格等几十甚至上百种格式文件,并统一修改被加密后的文件后缀名(如下图)。

所以,如果只收到一封勒索邮件,被“录制视频”挟缴纳赎金的童鞋大可放心了,这种并非勒索病毒,是网络诈骗。

当确认中了勒索病毒,面对电脑桌面跳出的一封纯英文的勒索信,你会:

A:后悔,反思自己英语没学好啥都看不懂。

B:愤怒,歪比巴卜,阿巴阿巴阿巴。

C:慌张,咋整啊?咋回事啊?咋办啊?

于老师告诉你,上述选项都不对,正确的应该是掌握八字自救法:保(bu)护(yao)现(luan)场(dong),寻(kuai)求(zhao)救(huo)援(rong)。

如何保护现场呢?

一是断网。直接拔网线或网卡,笔记本类则关闭无线网络,中断病毒后续的传播,起到降低损失的作用。

二是杀毒。通过火绒等具备本地引擎的安全软件进行全盘扫描,清除病毒本体,防止遭遇多次加密的情况发生。需要强调的是,查杀病毒不能解密文件。

除此之外,还有两点一定不能做:

切勿在被感染勒索病毒终端上插入使用U盘、移动硬盘等具备存储功能的外接设备,以防这类设备内的文件被再次被病毒加密,并进行传播;

切勿反复打开被感染终端上的文件,会不利于后续使用数据恢复工具尝试恢复文件。

至此,就完成了自救的主要措施,然后就是场外求助,可以联系火绒等安全厂商帮忙,及时分析勒索病毒样本以及入侵方式,确认是否可以解密,并获取专业的后续安全建议和加固方案。

接着就是与黑客斗智斗勇的阶段:数据恢复。

1、如果被加密的文件有备份资源,那么恭喜你可以大声说:勒索病毒,啥也不是。然后清除病毒重装系统后,就可以还原资料数据了。

2、如果没有备份资源,但查询到有对应的解密工具,那么同样恭喜你可以大声说:勒索病毒,啥也不是。然后就可以使用解密工具还原资料数据。

火绒公布的勒索病毒工具在这里,希望大家永远用不到:

http://bbs.huorong.cn/thread-65355-1-1.html

要说清楚的是,目前绝大多数勒索病毒加密文件后是无法解密的。只有极少数的勒索病毒被制作出解密工具,只是其中条件也是极为苛刻的,比如需要勒索病毒作者主动或被迫公布密钥,又或者病毒本身制作携带缺陷。所以,不要心存侥幸。

具体原因请听火绒小姐姐的苦口婆心:

《火绒小课堂:勒索病毒为什么很难解密?(视频)》

3、如果以上条件都不具备,那么还可以可联系专业的数据恢复公司尝试恢复被加密文件。

部分勒索病毒并非直接加密原文件,而是对原文件进行复制,然后加密复制文件,并删除原文件。使用数据恢复工具可对被删除的原文件进行尝试性恢复。(这就是上面提到的切勿反复打开终端文件的原因了)

面对勒索病毒,我们不推荐向黑客妥协选择支付赎金解密,这样不仅会助长勒索病毒传播和更新的势头,也无法保证一定获得密钥。(少数勒索病毒纯粹以破坏为目的,如“Petya”勒索病毒。)

最后是安全防护,虽然老生常谈了,但这部分才是最重要的。

1、对重要数据进行备份。你们也看见了上面如果存了备份数据的话,可以有多嚣张了。

2、部署安全软件,定期进行查杀。

3、对熟人发来的工具、邮件内的附件等,先查杀后使用,出现报毒的情况不要通过退出火绒或添加白名单后运行。如需要确认是否是病毒,可提交火绒安全协助进行分析。

4、及时更新系统和为主机打补丁,修复相应的高危漏洞。

最后的最后,对相关勒索事件,大家也可以直接通过以下方式,直接向我们反馈求助:

1、拨打电话400-998-3555

2、通过火绒官方论坛反馈

3、邮箱:seclab@huorong.cn

4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。

0 人点赞