北京掌上天下_服务器维修_网络设备维修_数据恢复_企业IT外包_数据迁移_专业品牌维修服务商!
掌上天下欢迎您!

勒索病毒解密与恢复服务

发布时间:2018-10-24 16:4 来源:掌上天下
摘要索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。

掌上天下为客户提供勒索病毒解密服务,已成功完成多次解密恢复任务。


勒索病毒解密与恢复服务

image.png


       掌上天下公司为客户提供专业的勒索病毒解密与恢复服务,勒索病毒一般分两种攻击对象,一部分针对企业用户(如xtbl,wallet),一部分针对所有用户。我们用最快速的解决手段,最节约的工作成本为您的数据安全提供保障。

image.pngimage.png


       该类型病毒的目标性强,主要以邮件为传播方式。
       勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥私钥写入到注册表中,遍历本地所 有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。

image.pngimage.png

服务范围:

1、WannaCry:利用“永恒之蓝”漏洞传播,危害巨大
WannaCry勒索病毒,最早出现在2017年5月,通过永恒之蓝漏洞传播,短时间内对整个互联网造成非常大的影响。受害者文件被加上.WNCRY后缀,并弹出勒索窗口,要求支付赎金,才可以解密文件。由于网络中仍存在不少未打补丁的机器,此病毒至今仍然有非常大的影响。
 
image.png

图:WannaCry勒索病毒


2、BadRabbit:弱口令攻击,加密文件和MBR
Bad Rabbit勒索病毒,主要通过水坑网站传播,攻击者攻陷网站,将勒索病毒植入,伪装为adobe公司的flash程序图标,诱导浏览网站的用户下载运行。用户一旦下载运行,勒索病毒就会加密受害者计算机中的文件,加密计算机的MBR,并且会使用弱口令攻击局域网中的其它机器。
 image.png

图:BadRabbit勒索病毒


3、GlobeImposter:变种众多持续更新
GlobeImposter勒索病毒是一种比较活跃的勒索病毒,病毒会加密本地磁盘与共享文件夹的所有文件,导致系统、数据库文件被加密破坏,由于Globelmposter采用RSA算法加密,因此想要解密文件需要作者的RSA私钥,文件加密后几乎无法解密,被加密文件后缀曾用过Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444等。
 image.png

图:GlobeImposter勒索病毒


4、GandCrab:使用达世币勒索,更新频繁
Gandcrab是首个以达世币(DASH)作为赎金的勒索病毒,此病毒自出现以来持续更新对抗查杀。被加密文件后缀通常被追加上.CRAB .GDCB .KRAB 等后缀。从新版本勒索声明上看没有直接指明赎金类型及金额,而是要求受害用户使用Tor网络或者Jabber即时通讯软件获得下一步行动指令,极大地增加了追踪难度。
随着版本的不断更新,Gandcrab的传播方式多种多样,包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。此病毒至今已出现多个版本,该家族普遍采用较为复杂的RSA+AES混合加密算法,文件加密后几乎无法解密,最近的几个版本为了提高加密速度,对文件加密的算法开始使用Salsa20算法,秘钥被非对称加密算法加密,若没有病毒作者的私钥,正常方式通常无法解密,给受害者造成了极大的损失。
 image.png

图:Gandcrab勒索病毒


5、Crysis:加密文件,删除系统自带卷影备份
Crysis勒索病毒家族是比较活跃的勒索家族之一。攻击者使用弱口令暴力破解受害者机器,很多公司都是同一个密码,就会导致大量机器中毒。此病毒运行后,加密受害者机器中的文件,删除系统自带的卷影备份,被加密文件后缀格式通常为“编号+邮箱+后缀”,例如:
id-{编号}.[gracey1c6rwhite@aol.com].bip
id-{编号}.[chivas@aolonline.top].arena
病毒使用AES加密文件,使用RSA加密密钥,在没有攻击者的RSA私钥的情况下,无法解密文件,因此危害较大。
 
image.png

图:Crysis勒索病毒


6、Cerber:通过垃圾邮件和挂马网页传播
Cerber家族是2016年年初出现的一种勒索软件。从年初的1.0版本一直更新到4.0版。传播方式主要是垃圾邮件和EK挂马,索要赎金为1-2个比特币。到目前为止加密过后的文件没有公开办法进行解密。
 
image.png

图:Cerber勒索病毒


7、Locky:早期勒索病毒,持续更新多个版本
Locky家族是2016年流行的勒索软件之一,和Cerber 的传播方式类似,主要采用垃圾邮件和EK,勒索赎金0.5-1个比特币。
 
image.png

图:Locky勒索病毒


8、Satan:使用多种web漏洞和“永恒之蓝”漏洞传播
撒旦Satan勒索病毒运行之后加密受害者计算机文件并勒索赎金,被加密文件后缀为.satan。自诞生以来持续对抗查杀,新版本除了使用永恒之蓝漏洞攻击之外,还增加了其它漏洞攻击。病毒内置了大量的IP列表,中毒后会继续攻击他人。此病毒危害巨大,也给不打补丁的用户敲响了警钟。幸运的是此病毒使用对称加密算法加密,密钥硬编码在病毒程序和被加密文件中,因此可以解密。瑞星最早开发出了针对此病毒的解密工具。
 image.png

图:Satan勒索病毒


9、Hc:Python开发,攻击门槛低,危害较大
Hc家族勒索病毒使用python编写,之后使用pyinstaller打包。攻击者使用弱口令扫描互联网中机器植入病毒。此病毒的出现使勒索病毒的开发门槛进一步降低,但是危险指数并没有降低。通常使用RDP弱口令入侵受害机器植入病毒。早期版本使用对称加密算法,密钥硬编码在病毒文件中,新版本开始使用命令行传递密钥。
 image.png

图:Hc勒索病毒


10、LockCrypt:加密文件,开机提示勒索
LockCrypt病毒运行后会加密受害者系统中的文件,并修改文件的名称格式为:[$FileID]=ID [$UserID].lock。其中$FileID为原始文件名加密base64编码得到,$UserID 为随机数生成。重启后会弹出勒索信息,要求受害者支付赎金,才可解密文件。
 image.png

图:LockCrypt勒索病毒


根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
1、通过脚本文件进行Http请求;
2、通过脚本文件下载文件;
3、读取远程服务器文件;
4、收集计算机信息;
5、遍历文件;
6、调用加密算法库。


恢复过程中注意事项:

修复前需关闭软件。
修复过程中请勿操作其它程序,耐心等待修复完成。
恢复完成后注意事项:

恢复完成数据后请查看重要文件是否恢复正常。
最算用最牛的安全软件,也只是被动防御,防不胜防。养成良好的定期备份习惯才是主动防御。所以请第一时间备份数据至其它存储器上。
如不放心是否残留恶意程序,可重新安装操作系统,并安装安全软件。

image.png

为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:

1、服务器尽量不要开放外网端口。
2、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
3、如果一定要开放远程桌面,请更改默认3389端口,端口号在5位数。
4、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
5、更改默认administrator管理帐户,禁用GUEST来宾帐户。
6、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
7、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
8、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。
9、更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符。
10、外网服务器不要有访问及修改内网计算机共享文件夹的权限。


沟通之后我们会以最快的方式对您反馈的信息进行分析,制定省时高效的修复方案,最大限度保障您的利益。

服务热线:400-690-6226

E乐彩会员线路 www.elecai3.com E乐彩会员线路 www.elecai3.com 高频彩App下载|高频彩票软件下载 128彩票App下载|128彩票开奖|128福彩官网 E乐彩会员线路 www.elecai3.com 128福彩App下载-官方直营 e77乐彩会员线路 www.elecai3.com 哪个高频彩票好-高频彩App下载 凤凰体彩娱乐|凤凰体彩App-官方直营 星空彩票app下载-【手机网址】