在近期,網(wǎng)絡(luò)上流傳一種名為DevicData勒索病毒,該病毒是一種早期勒索病毒,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,該勒索病毒的攻擊加密方式做了很大升級(jí),給企業(yè)的計(jì)算機(jī)帶來了嚴(yán)重威脅。近日,云天數(shù)據(jù)恢復(fù)中心陸續(xù)接到很多企業(yè)的求助,企業(yè)的計(jì)算機(jī)服務(wù)器遭到了DevicData勒索病毒攻擊,導(dǎo)致企業(yè)所有計(jì)算機(jī)服務(wù)器數(shù)據(jù)庫癱瘓,無法正常工作,經(jīng)過近期云天數(shù)據(jù)恢復(fù)中心工程師對(duì)DevicData勒索病毒的解密,發(fā)現(xiàn)該勒索病毒不僅會(huì)攻擊企業(yè)的計(jì)算機(jī),還會(huì)攻擊部分個(gè)人計(jì)算機(jī),為此,為大家整理了以下應(yīng)對(duì)措施。
一,DevicData勒索病毒特點(diǎn)
(1)攻擊加密升級(jí),DevicData勒索病毒采用了遠(yuǎn)程桌面弱口令與電子郵件附件或捆綁軟件的形式進(jìn)行傳播,一旦入侵計(jì)算機(jī),就會(huì)運(yùn)行加密程序,結(jié)合新升級(jí)后的RSA與AES加密算法,給計(jì)算機(jī)上的所有文件實(shí)施加密,所有文件幾乎全是全字節(jié)加密,非專業(yè)人士很難自行解密。
(2)中毒特征表現(xiàn),DevicData勒索病毒攻擊到計(jì)算機(jī),會(huì)導(dǎo)致計(jì)算機(jī)所有文件的后綴統(tǒng)一變成了DevicData-x-xxxxx,像jiemihuifu.mdf文件就會(huì)變成jiemihuifu.mdf.DevicData-x-xxxxx格式,并且還會(huì)在計(jì)算機(jī)上留有一份RECOVER files!!!.txt勒索信,所有扇區(qū)都會(huì)留下一封。
(3)中毒影響嚴(yán)重,DevicData勒索病毒會(huì)給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失,并且會(huì)造成企業(yè)重要信息與計(jì)算機(jī)上的個(gè)人隱私數(shù)據(jù)泄露的風(fēng)險(xiǎn),嚴(yán)重影響到了企業(yè)正常業(yè)務(wù)開展,從而影響企業(yè)的信譽(yù)與口碑。
二,DevicData勒索病毒解密
(1)斷開網(wǎng)絡(luò)連接,當(dāng)發(fā)現(xiàn)企業(yè)計(jì)算機(jī)被DevicData勒索病毒攻擊,我們應(yīng)該先斷開網(wǎng)絡(luò)連接,斷開與計(jì)算機(jī)所有的一些連接共享設(shè)備,以防止勒索病毒在內(nèi)網(wǎng)下的傳播。
(2)結(jié)束加密程序,在對(duì)中毒計(jì)算機(jī)進(jìn)行任何操作前,我們應(yīng)該先介紹掉其中的加密程序,以防止勒索病毒產(chǎn)生新的加密。進(jìn)入到任務(wù)管理器結(jié)束掉陌生或較大運(yùn)行內(nèi)存的軟件進(jìn)程。
(3)復(fù)制中毒文件,如果中的計(jì)算機(jī)中有重要的文件被加密,我們需要對(duì)其復(fù)制,結(jié)束掉加密程序后,我們可以對(duì)中毒文件進(jìn)行操作,復(fù)制一份到物理隔離的硬盤或U盤之中,以防止在數(shù)據(jù)恢復(fù)過程中意外的產(chǎn)生,減少對(duì)源文件的損壞。
(4)解密數(shù)據(jù)恢復(fù),我們可以咨詢專業(yè)的技術(shù)工程師,根據(jù)不同企業(yè)的加密形式制定合理的解密方案計(jì)劃,一般專業(yè)機(jī)構(gòu)對(duì)各種后綴勒索病毒有著豐富的解密經(jīng)驗(yàn)。
(5)系統(tǒng)恢復(fù)工作,如果數(shù)據(jù)解密恢復(fù)完成,我們再對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行全盤掃殺格式化,將系統(tǒng)病毒清除干凈后,然后重裝系統(tǒng),部署相應(yīng)的企業(yè)應(yīng)用軟件,然后再導(dǎo)入恢復(fù)好的數(shù)據(jù)即可,安裝好可靠的防勒索病毒軟件,做好后期的防護(hù)工作。
三,DevicData勒索病毒防護(hù)
(1)減少端口共享與映射操作,避免端口長期暴露在公網(wǎng)之上。
(2)定期系統(tǒng)查殺,修補(bǔ)系統(tǒng)漏洞,維護(hù)系統(tǒng)的弱口令密碼。
(3)定期備份系統(tǒng)文件,將備份文件物理隔離,以防止特殊情況的發(fā)生。
(4)提高全員的網(wǎng)絡(luò)安全意識(shí)。
