破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击

安华金和 勒索软件 2019-11-19 13:56:17
365602
收藏

导语:向勒索病毒攻击者低头,绝不是数据安全的最后机会!

勿抱幻想

说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件...

今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此严肃认真地给予友情提醒:

相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。其中,企业成为勒索病毒最为热衷的攻击对象——在全球十大流行勒索病毒家族中,有九个都涉及企业攻击。

仅2019年上半年,GlobeImposter、Scaletto、GrandCrab、Gorgon、Satan等一系列新面孔和升级、变种后的老对手先后登场,不断运用各种“加密数据”的方式刷新存在感,背后目的则大多只有一个——赎金。勒索病毒攻击能够屡屡得手,究其根源是利用了受害用户对“丢失数据”的深深恐惧而寄希望于通过支付赎金“恢复数据”的想法。

乖乖交钱,似乎成为了受害用户最后的机会...

image.png

然而,过往的经验以及残酷的事实不断证明着,即便交了赎金也很可能拿不回数据——因为大多数攻击者为了减少攻击时间,从一开始便会直接将原始数据删除;即便原始数据未被删除,也可能受攻击者“低质量”的加密程序影响,使得数据在解密后也无法复原和使用。唯一能够肯定的是,交赎金会助长不法分子的嚣张气焰,以致勒索病毒攻击变本加厉、愈演愈烈。

从速应对

不久前,安华金和接到用户急电,对方表示公司OA系统突发故障、无法正常运行,数据库也无法打开,疑似感染勒索病毒;同时,希望尽快解决问题,以降低此次安全事件对其业务系统的影响,避免造成进一步损失。

数据安全专家第一时间在经过授权许可后远程接入用户网络。经过问题排查,发现在用户使用的SQL Server2008R2数据库服务器上含有如下图中的提示信息,大意为:你的工作和私人文件已被加密,不要尝试自己恢复数据,那会让你的数据被毁掉!只有(向我们)购买特殊的密钥才能够解密...

image.png

检查数据库文件后发现确如“警告”所言——文件后缀已被修改为“.YOUR_LAST_CHANCE”(你最后的机会)。

image.png

根据病毒特征,安华金和判定用户感染了文件型勒索病毒firex3m的变种,属于操作系统层勒索病毒,其最大特征就是受感染文件在被恶意加密后,文件后缀会变为“.YOUR_LAST_CHANCE”。通常情况下,该病毒会在操作系统层对主机中的各类数据文件进行加密,使用户无法正常访问数据,继而实施敲诈勒索。

确认敌情后,需要结合用户实际情况,尽快制定应对策略:

1、将受攻击主机与其它业务机器进行物理隔离,防止勒索病毒扩散;

2、对其它业务机器进行杀毒,防止勒索病毒隐匿其中;

3、在征得用户同意后,提取小部分样本数据用于勒索病毒分析;

4、分析勒索病毒的攻击方式和加密方法;

5、根据分析结果制定解密程序;

6、在实验环境下验证解密效果;

7、用户户认可解密效果后,开始正式解密数据。

通过上述方法,改用户完全恢复了被勒索病毒加密的数据,使其业务系统再次正常运行,粉碎了不法分子利用勒索病毒攻击谋取不义之财的卑鄙企图,也证明了——乖乖交钱,绝不是数据安全最后的机会!

image.png

(解密后数据已做遮蔽处理)

实用建议

想要有效防范勒索病毒攻击,应加强对业务系统的日常安全防护工作,不断提高自身抵御风险的能力,基本流程与建议如下:

1、及时更新软件补丁

无论是操作系统、数据库还是前端应用,软件厂商都会定期发布更新补丁,从而修复已知的软件漏洞。因此,及时进行软件升级是保证数据安全的基本手段。

2、避免使用破解软件

破解软件、绿色软件虽然“方便好用”,却也可能携带安全风险——部分勒索病毒就是通过破解软件进行传播的。为了保证数据安全,应尽量避免使用此类软件。

3、请勿点击陌生邮件

勒索病毒常见的传播途径包括利用电子邮件、网页挂马等方式。因此,面对陌生邮件、陌生网址时,如果不能确定其安全性,请勿随意点击。

4、建议关闭无用端口

诸如135、137、138、139、445等端口常被勒索病毒利用,以发起对业务系统的攻击;酌情将此类端口关闭,可减少业务系统潜在的安全隐患。

5、制定安全应急预案

事先制定详细、具体的应急安全预案,作为处理数据安全问题的操作指南,用以在勒索病毒攻击发生时迅速采取应对措施。

6、定期数据安全演练

制定应急安全预案后,还需定期进行演练,持续加强相关人员的数据安全意识并提升应对能力,从而更好的保障业务系统安全。

7、联系数据安全专家

发现勒索病毒攻击后切勿慌乱,请及时联系安华金和,我们将提供数据安全专业服务,协助用户解密数据库文件,共同解决相关安全问题。

综上可见,向勒索病毒攻击者低头,绝不是数据安全的最后机会!

  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务