破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击
2019-11-19 14:56:17 Author: www.4hou.com(查看原文) 阅读量:151 收藏

勿抱幻想

说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件…

今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此严肃认真地给予友情提醒:

相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。其中,企业成为勒索病毒最为热衷的攻击对象——在全球十大流行勒索病毒家族中,有九个都涉及企业攻击。

仅2019年上半年,GlobeImposter、Scaletto、GrandCrab、Gorgon、Satan等一系列新面孔和升级、变种后的老对手先后登场,不断运用各种“加密数据”的方式刷新存在感,背后目的则大多只有一个——赎金。勒索病毒攻击能够屡屡得手,究其根源是利用了受害用户对“丢失数据”的深深恐惧而寄希望于通过支付赎金“恢复数据”的想法。

乖乖交钱,似乎成为了受害用户最后的机会…

image.png

然而,过往的经验以及残酷的事实不断证明着,即便交了赎金也很可能拿不回数据——因为大多数攻击者为了减少攻击时间,从一开始便会直接将原始数据删除;即便原始数据未被删除,也可能受攻击者“低质量”的加密程序影响,使得数据在解密后也无法复原和使用。唯一能够肯定的是,交赎金会助长不法分子的嚣张气焰,以致勒索病毒攻击变本加厉、愈演愈烈。

从速应对

不久前,安华金和接到用户急电,对方表示公司OA系统突发故障、无法正常运行,数据库也无法打开,疑似感染勒索病毒;同时,希望尽快解决问题,以降低此次安全事件对其业务系统的影响,避免造成进一步损失。

数据安全专家第一时间在经过授权许可后远程接入用户网络。经过问题排查,发现在用户使用的SQL Server2008R2数据库服务器上含有如下图中的提示信息,大意为:你的工作和私人文件已被加密,不要尝试自己恢复数据,那会让你的数据被毁掉!只有(向我们)购买特殊的密钥才能够解密…

image.png

检查数据库文件后发现确如“警告”所言——文件后缀已被修改为“.YOUR_LAST_CHANCE”(你最后的机会)。

image.png

根据病毒特征,安华金和判定用户感染了文件型勒索病毒firex3m的变种,属于操作系统层勒索病毒,其最大特征就是受感染文件在被恶意加密后,文件后缀会变为“.YOUR_LAST_CHANCE”。通常情况下,该病毒会在操作系统层对主机中的各类数据文件进行加密,使用户无法正常访问数据,继而实施敲诈勒索。

确认敌情后,需要结合用户实际情况,尽快制定应对策略:

1、将受攻击主机与其它业务机器进行物理隔离,防止勒索病毒扩散;

2、对其它业务机器进行杀毒,防止勒索病毒隐匿其中;

3、在征得用户同意后,提取小部分样本数据用于勒索病毒分析;

4、分析勒索病毒的攻击方式和加密方法;

5、根据分析结果制定解密程序;

6、在实验环境下验证解密效果;

7、用户户认可解密效果后,开始正式解密数据。

通过上述方法,改用户完全恢复了被勒索病毒加密的数据,使其业务系统再次正常运行,粉碎了不法分子利用勒索病毒攻击谋取不义之财的卑鄙企图,也证明了——乖乖交钱,绝不是数据安全最后的机会!

image.png

(解密后数据已做遮蔽处理)

实用建议

想要有效防范勒索病毒攻击,应加强对业务系统的日常安全防护工作,不断提高自身抵御风险的能力,基本流程与建议如下:

1、及时更新软件补丁

无论是操作系统、数据库还是前端应用,软件厂商都会定期发布更新补丁,从而修复已知的软件漏洞。因此,及时进行软件升级是保证数据安全的基本手段。

2、避免使用破解软件

破解软件、绿色软件虽然“方便好用”,却也可能携带安全风险——部分勒索病毒就是通过破解软件进行传播的。为了保证数据安全,应尽量避免使用此类软件。

3、请勿点击陌生邮件

勒索病毒常见的传播途径包括利用电子邮件、网页挂马等方式。因此,面对陌生邮件、陌生网址时,如果不能确定其安全性,请勿随意点击。

4、建议关闭无用端口

诸如135、137、138、139、445等端口常被勒索病毒利用,以发起对业务系统的攻击;酌情将此类端口关闭,可减少业务系统潜在的安全隐患。

5、制定安全应急预案

事先制定详细、具体的应急安全预案,作为处理数据安全问题的操作指南,用以在勒索病毒攻击发生时迅速采取应对措施。

6、定期数据安全演练

制定应急安全预案后,还需定期进行演练,持续加强相关人员的数据安全意识并提升应对能力,从而更好的保障业务系统安全。

7、联系数据安全专家

发现勒索病毒攻击后切勿慌乱,请及时联系安华金和,我们将提供数据安全专业服务,协助用户解密数据库文件,共同解决相关安全问题。

综上可见,向勒索病毒攻击者低头,绝不是数据安全的最后机会!


文章来源: https://www.4hou.com/typ/21633.html
如有侵权请联系:admin#unsafe.sh