其实此次中招,从去年爆出方程式组织的黑客工具和github上的相关源码,各大运营商和安全工作室都有相关对策,关闭相应的几个端口,360更是直接做出反nsa武器库工具,一键除患,微软也出了相应补丁,但为什么还是有这么多人中招了?高校的网络安全一直很神奇?
刚刚看了下比特币,好像又涨了啊,前段时间的文件勒索事件就涨了一下,想想大一时一个才不到三千……
mac用户不受影响,估计苹果的销量会涨一波,这个事件win10的用户也会大幅度上升吧,对学生应该是加强安全意识吧,这次打的是高校的脸,不仅仅是之前那些勒索公司的程度了,暴力破解几乎也不可能了,估计抓捕都比破解快。
还是要加强网络教育吧,无论是未来的AI IOT 还是无人驾驶,都不是小事,未来的天下是云端。
……………………………………
根据我们多年的数据恢复与病毒解密处理经验,以及中国数据恢复协会广大会员单位的交流讨论,我们认为发现病毒加密数据之后应该立即做如下几点:
1:立即断网。
2:立即检查病毒加密时间。(观察文件修改时间)
规则A:立即断电或关机。若勒索加密病毒运行加密的时间在0-2小时内,根据你的主机文件个数和数据容量多少,一般情况下1小时内病毒会加密完成,若你的文件个数和容量比较大,病毒加密时间会时间更长。
规则B:不要关机,如果你发现加密时间已经超过5小时以上,这是你就是关机也没有用了,所以建议不要关机,这是病毒进程还在内存,对于破解病毒来说,很多密钥可能在内存或缓存文件,关机会导致这些重要的数据丢失或改变或覆盖,不利于后面的数据解密。
3:杀毒软件
往往中毒的主机杀毒软件都没有防守住,所以它杀不掉病毒,目前据我们的统计,杀毒软件是无法直接解密数据的,所以一般情况下,无需运行杀毒软件(此时杀毒软件进程多数被终止了),也无需安装新的杀毒软件,因为这些操作都会删除部分感染文件,对于重要被感染的数据万一被杀毒软件清除,就不利于数据恢复。
4:寻找专业机构。
数据被病毒加密勒索,十万火急,特别是wallet病毒,往往加密对象是服务器主机,严重影响企业日常运行,但是我们建议是,慌乱之中不要急。坚持专业途径解决问题。
规则A:勒索病毒恶性程度很高,采用高级的加密算法,非展业人士自己不要尝试,以免感染别的主机扩大故障
规则B:寻求专业的数据恢复公司,寻找专业人员协助解密。
规则C:不要轻易交纳赎金,这样会助长犯罪分子的气焰,另外黑客犯罪分子一般在国外,支付比特币赎金后如何保障付款安全,风险极大,我们已经碰到过用户付钱后,仍然无法解密数据的案例。
应急预案:
1.目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请广大师生尽快为电脑安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。
2.安装正版操作系统、Office软件等。学校信息化工作办公室为教职工提供正版软件,详情请访问信息化工作办公室网站下载、安装、激活,并将自动漏洞、补丁升级设置为自动安装。
3.关闭445、135、137、138、139端口,关闭网络共享。
4.强化网络安全意识,“网络安全就在身边,要时刻提防”:不明链接不要点击,不明文件不要下载,不明邮件不要打开……
5.尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘/U盘/网盘上。
