比特派app官方链接|勒索病毒补丁
作者: 比特派app官方链接
2024-03-08 01:39:45
救命必看�Windows勒索病毒最全攻略�补�下载(有更新)-Windows,勒索,病毒,补�,攻略, ——快科技(驱动之家旗下媒体)--科技改�未�
救命必看�Windows勒索病毒最全攻略�补�下载(有更新)-Windows,勒索,病毒,补�,攻略, ——快科技(驱动之家旗下媒体)--科技改�未�
ä¸æ–‡ç§‘技资讯专业å�‘布平å�°
首页 资讯 评测 驱动 图� 投稿
登录
注册
首页 > 资讯ä¸å¿ƒ > 软件之家 > æ“�作系统
救命必看�Windows勒索病毒最全攻略�补�下载(有更新)
2017-05-13 18:18:09 出处:快科技 作者:上方文Q 编辑:上方文Q 评论(0)
病毒Windows补�
5月12日起,Onionã€�WNCRY两类敲诈者病毒å�˜ç§�在全国乃至全世界大范围内出ç�°çˆ†å�‘æ€�势,大é‡�个人和ä¼�业ã€�机æ�„用户ä¸æ‹›ã€‚
ä¸�以往ä¸�å�Œçš„是,这次的新å�˜ç§�ç—…æ¯’æ·»åŠ äº†NSA(ç¾�国国家安全局)黑客工具包ä¸çš„“æ°¸æ�’之è“�”0dayæ¼�æ´�利用,通过445端å�£(文件共享)åœ¨å†…ç½‘è¿›è¡Œè •è™«å¼�æ„ŸæŸ“ä¼ æ’。
没有安装安全软件或å�Šæ—¶æ›´æ–°ç³»ç»Ÿè¡¥ä¸�的其他内网用户æ��有å�¯èƒ½è¢«åŠ¨æ„ŸæŸ“,所以目å‰�感染用户主è¦�集ä¸åœ¨ä¼�业ã€�é«˜æ ¡ç‰å†…网ç�¯å¢ƒä¸‹ã€‚
ä¸€æ—¦æ„ŸæŸ“è¯¥è •è™«ç—…æ¯’å�˜ç§�,系统é‡�è¦�èµ„æ–™æ–‡ä»¶å°±ä¼šè¢«åŠ å¯†ï¼Œå¹¶å‹’ç´¢é«˜é¢�的比特å¸�èµ�金,折å�ˆäººæ°‘å¸�2000-50000å…ƒä¸�ç‰ã€‚
ä»�ç›®å‰�监æ�§åˆ°çš„情况æ�¥çœ‹ï¼Œå…¨ç½‘å·²ç»�有数万用户感染,QQã€�å¾®å�šç‰ç¤¾äº¤å¹³å�°ä¸Šä¹Ÿæ˜¯å“€é¸¿é��é‡�,å��ç»å¨�èƒ�也ä¸�容å°�觑。
敲诈勒索病毒+远程执行æ¼�æ´�è •è™«ä¼ æ’的组å�ˆè‡´ä½¿å�±é™©åº¦å‰§å¢�,对近期国内的网络安全形势一次的严峻考验。
事å�‘å��,微软和å�„大安全公å�¸éƒ½ç¬¬ä¸€æ—¶é—´è·Ÿè¿›ï¼Œæ›´æ–°æ——ä¸‹å®‰å…¨è½¯ä»¶ã€‚é‡‘å±±æ¯’éœ¸ä¹Ÿç‰¹åˆ«é’ˆå¯¹æœ¬æ¬¡æ•²è¯ˆè€…è •è™«ï¼Œç»™å‡ºäº†è¯¦ç»†çš„å®‰å…¨é˜²å¾¡æ–¹æ¡ˆã€�ä¼ æ’分æ��,以å�Šå…¶ä»–安全建议。
我们也汇总了所有Windows系统版本的补�,请大家务必尽快安装更新。
ã€�ä¼ æ’感染背景】
æœ¬è½®æ•²è¯ˆè€…è •è™«ç—…æ¯’ä¼ æ’主è¦�包括Onionã€�WNCRY两大家æ—�å�˜ç§�,首先在英国ã€�ä¿„ç½—æ–¯ç‰å¤šä¸ªå›½å®¶çˆ†å�‘,有多家ä¼�业ã€�医疗机æ�„的系统ä¸æ‹›ï¼Œæ�Ÿå¤±é��常惨é‡�。
安全机æ�„å…¨ç�ƒç›‘测已ç»�å�‘ç�°ç›®å‰�多达74个国家é�é�‡æœ¬æ¬¡æ•²è¯ˆè€…è •è™«æ”»å‡»ã€‚
ä»�5月12æ—¥å¼€å§‹ï¼Œå›½å†…çš„æ„ŸæŸ“ä¼ æ’é‡�也开始急剧å¢�åŠ ï¼Œåœ¨å¤šä¸ªé«˜æ ¡å’Œä¼�业内部集ä¸çˆ†å�‘并且愈演愈烈。
å…¨ç�ƒ74个国家é�é�‡Onionã€�WNCRYæ•²è¯ˆè€…è •è™«æ„ŸæŸ“æ”»å‡»
24å°�时内监测到的WNCRYæ•²è¯ˆè€…è •è™«æ”»å‡»æ¬¡æ•°è¶…è¿‡10W+
本次感染急剧爆å�‘的主è¦�å�Ÿå› 在äº�å…¶ä¼ æ’过程ä¸ä½¿ç”¨äº†å‰�段时间泄æ¼�çš„ç¾�国国家安全局(NSA)黑客工具包ä¸çš„“æ°¸æ�’之è“�”æ¼�æ´�(微软3月份已ç»�å�‘布补ä¸�,æ¼�æ´�ç¼–å�·MS17-010)。
å’Œå�†å�²ä¸Šçš„“震è�¡æ³¢”ã€�“冲击波”ç‰å¤§è§„æ¨¡è •è™«æ„ŸæŸ“ç±»ä¼¼ï¼Œæœ¬æ¬¡ä¼ æ’攻击利用的“æ°¸æ�’之è“�”æ¼�æ´�å�¯ä»¥é€šè¿‡445端å�£ç›´æ�¥è¿œç¨‹æ”»å‡»ç›®æ ‡ä¸»æœºï¼Œä¼ æ’感染速度é��常快。
æœ¬æ¬¡æ•²è¯ˆè€…è •è™«ç—…æ¯’å�˜ç§�通过“æ°¸æ�’之è“�”æ¼�æ´�进行网络攻击
虽然国内部分网络è¿�è�¥å•†å·²ç»�å±�蔽æ�‰ä¸ªäººç”¨æˆ·çš„445网络端å�£ï¼Œä½†æ˜¯åœ¨æ•™è‚²ç½‘ã€�部分è¿�行商的大局域网ã€�æ ¡å›ä¼�业内网ä¾�æ—§å˜åœ¨å¤§é‡�æš´æ¼�çš„æ”»å‡»ç›®æ ‡ã€‚
对äº�ä¼�业æ�¥è¯´å°¤å…¶ä¸¥é‡�,一旦内部的关键æœ�务器系统é�é�‡æ”»å‡»ï¼Œå¸¦æ�¥çš„æ�Ÿå¤±ä¸�å�¯ä¼°é‡�。
ä»�检测到å��é¦ˆæƒ…å†µçœ‹ï¼Œå›½å†…å¤šä¸ªé«˜æ ¡éƒ½é›†ä¸çˆ†å�‘äº†æ„ŸæŸ“ä¼ æ’事件,甚至包括机场航ç�ä¿¡æ�¯ã€�åŠ æ²¹ç«™ç‰ç»ˆç«¯ç³»ç»Ÿé�å�—å½±å“�ï¼Œé¢„è®¡è¿‘æœŸç”±æœ¬æ¬¡æ•²è¯ˆè€…è •è™«ç—…æ¯’é€ æˆ�çš„å½±å“�会进一æ¥åŠ 剧。
全国å�„åœ°çš„é«˜æ ¡å†…ç½‘çš„æ•²è¯ˆè€…è •è™«æ„ŸæŸ“æ”»å‡»çˆ†å�‘
æŸ�é«˜æ ¡æœºæˆ¿å…¨éƒ¨é�é�‡WNCRYæ•²è¯ˆè€…è •è™«æ”»å‡»
国内æŸ�åœ°åŠ æ²¹ç«™ç³»ç»Ÿé�é�‡æœ¬æ¬¡æ•²è¯ˆè€…è •è™«å�˜ç§�攻击
æŸ�机场航ç�ä¿¡æ�¯ç»ˆç«¯å�Œæ ·é�é�‡äº†æ•²è¯ˆè€…è •è™«æ”»å‡»
ã€�æ•²è¯ˆè •è™«ç—…æ¯’æ„ŸæŸ“ç�°è±¡ã€‘
ä¸æ‹›ç³»ç»Ÿä¸çš„文档ã€�图片ã€�å�‹ç¼©åŒ…ã€�影音ç‰å¸¸è§�æ–‡ä»¶éƒ½ä¼šè¢«ç—…æ¯’åŠ å¯†ï¼Œç„¶å��å�‘用户勒索高é¢�比特å¸�èµ�金。
WNCRY��一般勒索价值300-600�金的比特�,Onion��甚至�求用户支付3个比特�,以目�的比特�行情,折�人民�在3万左�。
æ¤ç±»ç—…毒一般使用RSAç‰é��对称算法,没有ç§�é’¥å°±æ— æ³•è§£å¯†æ–‡ä»¶ã€‚WNCRY敲诈者病毒è¦�求用户在3天内付款,å�¦åˆ™è§£å¯†è´¹ç”¨ç¿»å€�ï¼Œå¹¶ä¸”ä¸€å‘¨å†…æœªä»˜æ¬¾å°†åˆ é™¤å¯†é’¥å¯¼è‡´æ— æ³•æ�¢å¤�。
ä»�æŸ�ç§�æ„�义上æ�¥è¯´ï¼Œè¿™ç§�敲诈者病毒“å�¯é˜²ä¸�å�¯è§£”,需è¦�安全å�‚商和用户共å�ŒåŠ 强安全防御æ�ªæ–½å’Œæ„�识。
感染WNCRY勒索病毒的用户系统弹出比特�勒索窗�
ç”¨æˆ·æ–‡ä»¶èµ„æ–™è¢«åŠ å¯†ï¼Œå��缀改为“wncry”,桌é�¢è¢«æ”¹ä¸ºå‹’ç´¢æ��å�“
对部分��的比特�支付地�进行追踪��,目�已�有少�用户开始�病毒作者支付勒索�金。
ä»�下图ä¸æˆ‘们å�¯ä»¥çœ‹åˆ°è¿™ä¸ªå�˜ç§�的病毒作者已ç»�收到19个用户的比特å¸�èµ�金,累计3.58个比特å¸�,市值约人民å¸�4万元。
æŸ�ä¸ªæ•²è¯ˆè€…è •è™«çš„æ¯”ç‰¹å¸�支付信æ�¯è¿½è¸ª
�防御�施建议】
1�安装�毒软件,��安全防御功能开�,比如金山毒霸已�拦截(下载地�http://www.duba.net),微软自带的Windows Defender也�以。
金山毒霸查æ�€WNCRYæ•²è¯ˆè€…è •è™«ç—…æ¯’
金山毒霸敲诈者病毒防御拦截WNCRYç—…æ¯’åŠ å¯†ç”¨æˆ·æ–‡ä»¶
2�打开Windows Update自动更新,�时�级系统。
微软在3月份已ç»�针对NSA泄æ¼�çš„æ¼�æ´�å�‘布了MS17-010å�‡çº§è¡¥ä¸�ï¼ŒåŒ…æ‹¬æœ¬æ¬¡è¢«æ•²è¯ˆè€…è •è™«ç—…æ¯’åˆ©ç”¨çš„“æ°¸æ�’之è“�”æ¼�æ´�,å�Œæ—¶é’ˆå¯¹å�œæ¢æ”¯æŒ�çš„Windows XPã€�Windows Server 2003ã€�Windows 8也å�‘布了专门的修å¤�è¡¥ä¸�。
最新版的Windows 10 1703创æ„�者更新已ç»�ä¸�å˜åœ¨æ¤æ¼�æ´�,ä¸�需è¦�è¡¥ä¸�。
�系统补�官方下载地�如下:
�KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
适用�Windows XP 32�/64�/嵌入��Windows Vista 32/64��Windows Server 2003 SP2 32�/64��Windows 8 32�/64��Windows Server 2008 32�/64�/安腾
�KB4012212】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
适用�Windows 7 32�/64�/嵌入��Windows Server 2008 R2 32�/64�
�KB4012213】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
适用�Windows 8.1 32�/64��Windows Server 2012 R2 32�/64�
�KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
适用�Windows 8嵌入��Windows Server 2012
�KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
适用�Windows 10 RTM 32�/64�/LTSB
�KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198
适用�Windows 10 1511�一月更新版32/64�
�KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429
适用�Windows 10 1607周年更新版32/64��Windows Server 2016 32/64�
3ã€�Windows XPã€�Windows Server 2003系统用户还å�¯ä»¥å…³é—445端å�£ï¼Œè§„é�¿é�é�‡æ¤æ¬¡æ•²è¯ˆè€…è •è™«ç—…æ¯’çš„æ„ŸæŸ“æ”»å‡»ã€‚
æ¥éª¤å¦‚下:
(1)ã€�å¼€å�¯ç³»ç»Ÿé˜²ç�«å¢™ä¿�护。æ�§åˆ¶é�¢æ�¿->安全ä¸å¿ƒ->Windows防ç�«å¢™->å�¯ç”¨ã€‚
开�系统防�墙�护
(2)ã€�å…³é—系统445端å�£ã€‚
(a)ã€�å¿«æ�·é”®WIN+Rå�¯åŠ¨è¿�行窗å�£ï¼Œè¾“å…¥cmd并执行,打开命令行æ“�作窗å�£ï¼Œè¾“入命令“netstat -an”,检测445端å�£æ˜¯å�¦å¼€å�¯ã€‚
(b)ã€�如上图å�‡å¦‚445端å�£å¼€å�¯ï¼Œä¾�次输入以下命令进行关é—:
net stop rdr / net stop srv / net stop netbt
功�的效�如下:
4ã€�è°¨æ…�打开ä¸�æ˜�æ�¥æº�的网å�€å’Œé‚®ä»¶ï¼Œæ‰“å¼€Office文档的时候ç¦�用å®�å¼€å�¯ï¼Œç½‘ç»œæŒ‚é©¬å’Œé’“é±¼é‚®ä»¶ä¸€ç›´æ˜¯å›½å†…å¤–å‹’ç´¢ç—…æ¯’ä¼ æ’çš„é‡�è¦�æ¸ é�“。
钓鱼邮件文档ä¸æš—è—�勒索者病毒,诱导用户开å�¯å®�è¿�行病毒
5ã€�å…»æˆ�è‰¯å¥½çš„å¤‡ä»½ä¹ æƒ¯ï¼Œå�Šæ—¶ä½¿ç”¨ç½‘盘或移动硬盘备份个人é‡�è¦�文件。
æœ¬æ¬¡æ•²è¯ˆè€…è •è™«çˆ†å�‘事件ä¸ï¼Œå›½å†…å¾ˆå¤šé«˜æ ¡å’Œä¼�业都é�é�‡æ”»å‡»ï¼Œå¾ˆå¤šå…³é”®é‡�è¦�èµ„æ–™éƒ½è¢«ç—…æ¯’åŠ å¯†å‹’ç´¢ï¼Œå¸Œæœ›å¹¿å¤§ç”¨æˆ·ç”±æ¤æ��高é‡�è¦�文件备份的安全æ„�识。
2017-05-14更新:金山毒霸�布比特�勒索病毒�疫工具:�费��文件
é�¢å¯¹è‚†è™�çš„Onionã€�WNCRY两类勒索病毒å�˜ç§�在全国范围内出ç�°çˆ†å�‘的情况,金山毒霸ä¸å¿ƒå·²ç´§æ€¥å�‘布比特å¸�勒索病毒å…�疫工具å�Šåº”急处置方案。
æ�®æ‚‰ï¼Œå‹’索病毒å�˜ç§�å¢�åŠ äº†NSA黑客工具包ä¸çš„“æ°¸æ�’之è“�”0dayæ¼�æ´�利用,å�¯åœ¨å±€åŸŸç½‘å†…è •è™«å¼�ä¸»åŠ¨ä¼ æ’,未修补æ¼�æ´�的系统会被迅速感染,勒索高é¢�的比特å¸�èµ�金折å�ˆäººæ°‘å¸�2000~50000ä¸�ç‰ã€‚
ç›®å‰�å·²è¯�å®�å�—感染的电脑集ä¸åœ¨ä¼�事业å�•ä½�ã€�政府机关ã€�é«˜æ ¡ç‰å†…网ç�¯å¢ƒã€‚æ¯’éœ¸å®‰å…¨ä¸“å®¶æŒ‡å‡ºï¼Œç—…æ¯’åŠ å¯†ç”¨æˆ·æ–‡æ¡£å��ä¼šåˆ é™¤å�Ÿæ–‡ä»¶ï¼Œæ‰€ä»¥ï¼Œå˜åœ¨ä¸€å®šæœºä¼šæ�¢å¤�éƒ¨åˆ†æˆ–å…¨éƒ¨è¢«åˆ é™¤çš„å�Ÿæ–‡ä»¶ã€‚建议电脑ä¸æ¯’å��,尽é‡�å‡�å°‘æ“�作,å�Šæ—¶ä½¿ç”¨ä¸“业数æ�®æ�¢å¤�工具,æ�¢å¤�概ç�‡è¾ƒé«˜ã€‚
金山毒霸11下载(æ�¨è��ï¼�拦截敲诈病毒):戳æ¤
专æ�€å…�疫工具:戳æ¤ç›´æ�¥ä¸‹è½½
详细教程:
检测当�电脑是�有�疫比特�勒索病毒攻击
已�功�疫效�如下图
我们知é�“,那些已ç»�è¢«åŠ å¯†çš„æ•°æ�®æ–‡ä»¶ï¼Œåœ¨æ²¡æœ‰å�–得密钥的情况下,解密基本没有å�¯èƒ½ã€‚ä½†åœ¨äº†è§£åˆ°ç—…æ¯’åŠ å¯†çš„å�Ÿç�†ä¹‹å��,å�‘ç�°ä»�有一定机会找å›�å�Ÿå§‹æ–‡ä»¶ï¼šç—…æ¯’åŠ å¯†å�Ÿæ–‡ä»¶æ—¶ï¼Œä¼šåˆ 除å�Ÿæ–‡ä»¶ï¼Œè¢«ç®€å�•åˆ 除文件的硬盘å�ªè¦�未进行大é‡�写入æ“�作,就å˜åœ¨æˆ�功æ�¢å¤�çš„å�¯èƒ½ã€‚
使用金山毒霸数���找����的文档
请使用å…�è´¹å¸�å�·ksda679795862,密ç �:kingsoft,æ�¥å�¯ç”¨é‡‘山毒霸的数æ�®æ�¢å¤�功能。
1.é€‰æ‹©åˆ é™¤æ–‡ä»¶æ�¢å¤�
2.选择扫æ��对象:在界é�¢ä¸é€‰æ‹©æ–‡ä»¶ä¸¢å¤±å‰�所在的ç£�盘或文件夹,然å��点击“开始扫æ��”。
3.扫æ��过程:文件数é‡�越多,扫æ��时间越长,请è€�心ç‰å¾…。(一般扫æ��速度2分钟3G)
4.扫�完结�预览:点击文件�进行预览,�预览的就是�有机会�功��的。勾选需���文件(夹),点击开始������文件。
5.选择æ�¢å¤�路径:æ�¢å¤�的文件将ä¿�å˜å†�您选择的文件夹路径,请选择您è¦�æ�¢å¤�到哪个文件夹。(强烈建议将è¦�æ�¢å¤�的文件ä¿�å˜åˆ°å…¶ä»–硬盘,而é��丢失文件的硬盘,以é�¿å…�é€ æˆ�二次æ�Ÿä¼¤ã€‚)
6.查看æ�¢å¤�结æ�œï¼šæ�¢å¤�的文件夹将ä¿�å˜åœ¨æ‚¨é€‰æ‹©çš„文件夹路径,打开目录å�¯æ£€æŸ¥æ�¢å¤�的文件。
ä»¥ä¸‹å‡ ç§�情况需è¦�注æ„�:
1.扫æ��出æ�¥çš„照片ã€�office文档,显示ä¸�å�¯é¢„è§ˆçš„ï¼Œæ˜¯æ— æ³•æ�¢å¤�çš„ã€‚ï¼ˆæ— æ³•é¢„è§ˆoffice文档,表示文档已部分å�—æ�Ÿï¼‰
2.ä¸�支æŒ�预览的文件类å�‹ï¼Œå�ªèƒ½æ�¢å¤�å��æ‰�能知é�“是å�¦å�¯ä»¥æ£å¸¸ä½¿ç”¨
3.ä½¿ç”¨è¯¯åˆ é™¤æ–‡ä»¶åŠŸèƒ½ï¼Œæ‰«æ��完å��,æ¯�个文件会有æ�¢å¤�概ç�‡æ˜¾ç¤ºï¼Œæ�¢å¤�概ç�‡é«˜ï¼Œæ�¢å¤�æˆ�功ç�‡å°±é«˜
4.视频文件�易产生�片和数�覆盖,所以视频文件完全��的�能性很�。
5.物ç�†æ�Ÿå��的硬盘或其他å˜å‚¨ä»‹è´¨ï¼Œæ�¢å¤�å��的文件å�¯èƒ½æ˜¯å·²æ�Ÿå��的文件。
æ–‡ç« çº é”™
æ–‡ç« ä»·å€¼æ‰“åˆ†
有价值
一般般
没价值
当å‰�æ–‡ç« æ‰“åˆ†0 分,共有0人打分
æ–‡ç« è§‚ç‚¹æ”¯æŒ�
+0
+0
分享到:
收è—�æ–‡ç« æ”¶è—�æ–‡ç«
相关资讯
· 这款è�¯æ˜�确对新å�‹å† 状病毒肺ç‚�有疗效ï¼�[02-18]· æ–°å† ç—…æ¯’ä¼ æŸ“æ€§æ˜¯SARSçš„10到20å€�?[02-18]· 微软宣布新一代Windows细节ï¼�更快更方便[02-18]· “å�¥åº·æ±½è½¦â€�å�¯ä»¥é˜²æ–°å† 状病毒?真相æ�¥äº†[02-17]· 别光看ç¾�国ç¥�è�¯ 抗疟è€�è�¯å¯¹æ–°å† 病毒有效[02-17]· 2020年最新LED投影仪优缺点分æ��攻略 投影[02-17]· æ–°å† ç—…æ¯’ç—…æ»ç�‡æœ€é«˜14.8% 1月开始扩散[02-17]· æ–°å† ç—…æ¯’é«˜æ¸…å½©ç…§æ�¥äº† è·ŸSARSæ— å¤§ä¸�å�Œ[02-17]· Win10å�‡çº§å�ƒä¸‡æ³¨æ„�!越æ�¥è¶Šå¤šç”¨æˆ·æ— 法开机[02-17]· æ–°å† çŠ¶ç—…æ¯’æœ€æ–°æ²»ç–—æ–¹æ³•æ�¥äº†ï¼šæ•ˆæ�œæ˜¾è‘—[02-17]
çƒé—¨æ–‡ç«
阅读|评论
欧ç¾�一边å°�æ�€ä¸€è¾¹å�–芯片ï¼�ä¿„ç½—æ–¯å®£å¸ƒåˆ¶é€ å¢ƒå†…æœ€å¤§çš„è¶…çº§è®¡ç®—æœºå¿«ç§‘æŠ€ . 雪花 女程åº�员下ç�å��ä¸ºè‡ªå·±é€ äº†ä¸€åº§è¿·ä½ æ¤�物å›ï¼šæœ€å°�æ¤�物仅2毫米宽快科技 . æœ�æ™– 凌乱了ï¼�英国父å�æ··å�ˆç²¾æ¶²ç”Ÿä¸‹ä¸€å�:爷爷å�¯èƒ½æ˜¯çˆ¸çˆ¸å¿«ç§‘技 . 上方文Q 2024è¾½å®�春晚å�‘布节目å�•ï¼š6个å°�å“� 宋å°�å®�ã€�æ–‡æ�¾ç‰åœ¨åˆ—快科技 . éš�心 上海到北京仅需2.5å°�时引çƒè®®ï¼šå…¶å®�时间ä¸�èƒ½è¿™æ ·ç®—å¿«ç§‘æŠ€ . 拾柒 专家:建议ä¸å°�å¦å¦åˆ¶ç¼©çŸåˆ°9å¹´ ç›´æ�¥æ™®å�Šé«˜ä¸æ•™è‚²å¿«ç§‘技 . 雪花 å›�æ�‘çš„ç‹—å�已彻底“癫了â€� 网å�‹ï¼šç»ˆäº�æ˜�白啥å�«é¸¡çŠ¬ä¸�å®�快科技 . éš�心 主人æ�¡é¸¡è›‹å�‘ç�°é¸¡è¢«é›ªåŸ‹3天还活ç�€ï¼šéƒ½è¢«å†»å®�了ã€�生命真顽强快科技 . è�½æœ¨
技术å°�é”�:英伟达ç‰æ¬§ç¾�巨头宣布组建è�”盟 ç¾�英ç‰10国宣布支æŒ�6G快科技 . 雪花 今起快递必须上门ç‰ï¼šå¿«é€’员预测新规å®�施将引å�‘离è�Œæ½® 有人将收货地å�€æ”¹é©¿ç«™å¿«ç§‘技 . 雪花 ä¸å›½æ±½è½¦çŸæ—¶é—´å†…别想å�–到ç¾�国市场ï¼�ç¾�国å›�应:特斯拉苹æ�œç‰ç¾�ä¼�尴尬快科技 . 雪花 快递员称30分钟é€�完的货ç�°åœ¨å¹²12å°�时引çƒè®®ï¼šæœ‰äººå¾—知新规两天å��离è�Œ 网å�‹ç§°ä¸�如放驿站 快科技 . æœ�æ™– SU7二å£åº¦äº¤ä»˜ï¼�å°�米汽车争å�–å…¨ç�ƒä¸Šå¸‚:超30ä¸‡ä½ ä¼šä¹°å�—快科技 . 雪花 第一批开电动爹å›�家的人å��悔了登çƒæ�œç¬¬ä¸€ï¼šå�«è‹¦è¿�天 没开油车快科技 . æœ�æ™– å�šä¸»ï¼šç”µè½¦ä¸�æ€•å µè½¦ã€�ä¸�æ•¢å�¹ç©ºè°ƒçš„永远å�ªæœ‰æ²¹è½¦ï¼�快科技 . è�½æœ¨ 有快递员转行é€�外å�–了:æ¯�个电è¯�éƒ½æ‰“æ ¹æœ¬ä¸�ç�°å®�快科技 . 振äº
çƒé—¨è¯„论
本月|本周
关�我们
关�我们
���说�
交��作
åŠ å…¥æˆ‘ä»¬
���馈
广告刊例
关注我们
微信公众�:
微��:快科技2018
QQ群:53467377
安�客户端下载
IOS客户端下载
快科技(驱动之家旗下媒体)·1997-2023 版�所有
Copyright(C)Mydrivers.com, All Rights Reserved.
豫ICP备18024899�-2豫公网安备 41010502003949�
本网页已闲置超过3分钟,按键盘任�键或点击空白处,���到网页
最çƒèµ„讯
更多çƒé—¨èµ„讯
扫�安装快科技APP
扫�关注驱动之家
保护电脑免遭勒索软件攻击 - Microsoft 支持
保护电脑免遭勒索软件攻击 - Microsoft 支持
跳转至主内容
Microsoft
支持
支持
支持
主页
Microsoft 365
Office
产品
Microsoft 365
Outlook
Microsoft Teams
OneDrive
OneNote
Windows
Microsoft Edge
更多信息 ...
设备
Surface
电脑配件
移动体验
Xbox
PC 游戏
HoloLens
硬件保修
帐户和计费
帐户
Microsoft Store 和计费
资源
新增功能
社区论坛
Microsoft 365 管理员
小型企业门户
开发人员
教育
上报支持欺诈
更多
购买 Microsoft 365
所有 Microsoft
Global
Microsoft 365
Teams
Windows
Surface
Xbox
折扣专区
企业购
支持
软件
软件
Windows 应用
AI
OneDrive
Outlook
Skype
OneNote
Microsoft Teams
PC 和设备
PC 和设备
购买 Xbox
PC 和平板电脑
配件
娱乐
娱乐
Xbox 与游戏
PC 游戏
企业
企业
Microsoft Cloud
Microsoft 安全
Azure
Dynamics 365
Microsoft 365 商业版
Microsoft 行业
Microsoft Power Platform
开发人员与 IT
开发人员与 IT
开发人员中心
文档
Microsoft Learn
Microsoft 技术社区
Azure 市场
AppSource
Visual Studio
其他
其他
免费下载与安全性
教育
查看站点地图
搜索
搜索帮助
无结果
取消
登录
使用 Microsoft 登录
登录或创建帐户。
你好,
使用其他帐户。
你有多个帐户
选择要登录的帐户。
保护电脑免遭勒索软件攻击
Security Windows 7 Windows 8.1 Windows 10 更多...更少
勒索软件是一种加密你的文件或让你无法使用计算机的恶意软件,你必须付钱(赎金)才能解锁文件和计算机。 如果你的计算机已连接到网络,勒索软件还可能传播到网络上的其他计算机或存储设备。
可能受到勒索软件感染的一些途径包括:
访问不安全、可疑或虚假网站。
打开你意外收到或从不认识的人那里收到的文件附件。
在电子邮件、Facebook、Twitter以及其它社交媒体的贴文或即时信息聊天或短信聊天中打开恶意链接。
你通常可以辨别出虚假电子邮件和网页,因为它们存在拼写错误或看起来异常。 留意奇怪的公司名称拼写(例如“PayePal”,而不是“PayPal”)或异常空格、符号或标点(例如“iTunesCustomer Service”,而不是“iTunes Customer Service”)。
勒索软件可以任何电脑为目标 - 无论是家庭电脑、连入企业网络的电脑,或是政府机关使用的服务器上的电脑。
警告: 移动设备也可能受到勒索软件感染! 了解如何保护设备
如何帮助保护我的电脑安全?
确保你的电脑更新了最新版本的 Windows 和所有最新修补程序。 了解有关 Windows 更新的更多信息。
确保打开Windows 安全中心帮助你免受病毒和恶意软件的骚扰(或在 Windows 10 之前版本的系统中打开 Windows Defender Security Center)。
在 Windows 10 或 11 中,打开 “受控文件夹访问权限” 以保护重要本地文件夹免遭勒索软件或其他恶意软件等未授权程序的攻击。
使用一个安全、现代的浏览器,例如 Microsoft Edge。
定期重新启动计算机;至少每周一次。 这可以帮助确保应用程序和操作系统保持最新的,并有助于系统更好地运行。
注意: 如果你是一名小型企业所有者,考虑使用 Microsoft 365 商业高级版。 它包括 Microsoft Defender 高级威胁防护,有助于保护你的企业免遭在线威胁。详细了解 Microsoft 365 商业高级版安全中心
如果怀疑你的电脑已受到勒索软件感染
无论何时,如果你怀疑自己的电脑可能被感染,使用反恶意软件程序,比如 Windows 安全中心。 例如,如果你在新闻中看到了新的恶意软件或你发现你的电脑运行不正常。 请参阅 Windows 安全中心中的病毒和威胁防护了解如何扫描设备。
如果你的电脑确实已受到勒索软件感染
不幸的是,感染勒索软件通常不会显示出来,知道你看到某种通知、一个窗口、一个应用或一个全凭消息,要求你付钱来重新访问你的电脑或文件。 这些消息通常在加密你的文件后显示。
尝试用Windows Security彻底清理你的电脑。 在尝试恢复你的文件之前,应执行此操作。 另请参阅 备份 Windows 电脑,获取有关备份和恢复 Windows 版本的文件的帮助。
不要付钱来恢复你的文件。 即使给勒索软件付费,也不能保证能重新访问你的电脑或文件。
如果你已经付费,怎么办
如果你已经给勒索软件付费,请立即联系你的银行和当地机关。 如果你使用信用卡支付,你的银行可能能够阻止交易并退还资金。
你还可以联系以下政府欺诈和诈骗报告网站:
在澳大利亚,转到 SCAMwatch网站。
在加拿大,转到加拿大反欺诈中心。
在法国,转到Agence nationale de la sécurité des systèmes d'information 网站。
在德国,转到Bundesamt für Sicherheit in der Informationstechnik 网站。
在爱尔兰,转到An Garda Síochána网站。
在新西兰,转到消费者事务诈骗网站。
在英国,转到欺诈操作网站。
在美国,转到网络防范网站。
如果你所在的地区未在此处列出,Microsoft 建议你与你所在地区的联邦警察或传播机构联系。
有关勒索软件的举例概述以及如何帮助你自我保护,请参阅关于勒索软件的 5 个 W 和 1 个 H。
如果你在公司任职,请参见 Microsoft 恶意软件防护中心获取有关 勒索软件的详细信息。
另请参阅
恶意软件如何感染你的电脑
保护自己免受网络诈骗和攻击
备份 Windows 电脑
订阅 RSS 源
需要更多帮助?
需要更多选项?
发现
社区
了解订阅权益、浏览培训课程、了解如何保护设备等。
Microsoft 365 订阅权益
Microsoft 365 培训
Microsoft 安全性
辅助功能中心
社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。
咨询 Microsoft 社区
Microsoft 技术社区
Windows 预览体验成员
Microsoft 365 预览体验
此信息是否有帮助?
是
否
谢谢!还有关于 Microsoft 的反馈吗?
你能帮助我们改进吗? (向 Microsoft 发送反馈,以便我们提供帮助。)
你对语言质量的满意程度如何?
哪些因素影响了你的体验?
解决了我的问题
指示清晰
易于理解
无行话
图片有帮助
翻译质量
与屏幕上显示的不一致
错误说明
技术性太强
信息还少
图片太少
翻译质量
是否还有其他反馈? (可选)
提交反馈
按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。
你的 IT 管理员将能够收集此数据。
隐私声明。
谢谢您的反馈!
×
新增内容
Surface Pro 9
Surface Laptop 5
Surface Studio 2+
Surface Laptop Go 2
Surface Go 3
Microsoft 365
Windows 11 应用程序
Microsoft Store
帐户个人资料
下载中心
订单跟踪
教育
Microsoft 教育版
教育设备
Microsoft Teams 教育版
Microsoft 365 教育版
Office 教育版
教育工作者培训和开发
面向学生和家长的优惠
面向学生的 Azure
企业
Microsoft Cloud
Microsoft 安全
Azure
Dynamics 365
Microsoft 365
Microsoft Advertising
Microsoft 行业
Microsoft Teams
开发人员与 IT
开发人员中心
文档
Microsoft Learn
Microsoft 技术社区
Azure 市场
AppSource
Microsoft Power Platform
Visual Studio
公司
招贤纳士
关于 Microsoft
公司新闻
Microsoft 隐私
投资人
可持续发展
中文(中国)
加利福尼亚州消费者隐私法案(CCPA)选择退出图标
你的隐私选择
加利福尼亚州消费者隐私法案(CCPA)选择退出图标
你的隐私选择
与 Microsoft 联系
隐私
管理 Cookie
使用条款
商标
关于我们的广告
京ICP备09042378号-6
© Microsoft 2024
勒索病毒识别、解密工具汇总(附部分工具下载地址) - 知乎
勒索病毒识别、解密工具汇总(附部分工具下载地址) - 知乎切换模式写文章登录/注册勒索病毒识别、解密工具汇总(附部分工具下载地址)谷安培训已认证账号最近应急服务的时候,总是在工控用户方碰上各种勒索病毒,感染工控系统的计算机,以下为日常搜集的勒索病毒解密工具的汇总。希望对大家有用!请各位在虚拟机下安全的使用。[777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密的文件[AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密的文件[Agent.iih Ransom] Rakhni解密器用来解密Agent.iih勒索软件加密的文件[Alcatraz Ransom] Alcatraz解密器用来解密Alcatraz勒索软件加密的文件[Alpha Ransom] Alphadecrypter解密器用来解密Alpha勒索软件加密的文件[Amnesia Ransom] Amnesia解密器用来解密Amnesia勒索软件加密的文件[Amnesia2 Ransom] Amnesia2解密器用来解密Amnesia2 勒索软件加密的文件[Annabelle Ransom] BDAnnabelleDecryptTool解密器用来解密Annabelle勒索软件加密的文件StupidDecryptor解密器用来解密Annabelle勒索软件加密的文件[Aura Ransom] Rakhni解密器用来解密Aura勒索软件加密的文件[Aurora Ransom] AuroraDecryptor解密器用来解密Aurora勒索软件加密的文件Aurora解密器用来解密Aurora勒索软件加密的文件[AutoIt Ransom] Rakhni解密器用来解密AutoIt勒索软件加密的文件[AutoLocky Ransom] Trend Micro Ransomware解密器用来解密AutoLocky勒索软件加密的文件[BTCWare Ransom] BTCWare解密器用来解密BTCWare勒索软件加密的文件[BadBlock Ransom] Trend Micro Ransomware解密器用来解密BadBlock勒索软件加密的文件[BarRax Ransom] BarRax解密器用来解密BarRax勒索软件加密的文件[Bart Ransom] Bart解密器用来解密Bart勒索软件加密的文件[BigBobRoss Ransom] Bigbobross fix解密器用来解密BigBobRoss勒索软件加密的文件[Bitcryptor Ransom] Coinvault解密器用来解密Bitcryptor勒索软件加密的文件[CERBER V1 Ransom] Trend Micro Ransomware解密器用来解密CERBER V1勒索软件加密的文件[Chimera Ransom] Rakhni解密器用来解密Chimera勒索软件加密的文件[Coinvault Ransom] Coinvault解密器用来解密Coinvault勒索软件加密的文件[Cry128 Ransom] Cry128解密器用来解密Cry128勒索软件加密的文件[Cry9 Ransom] Cry9解密器用来解密Cry9勒索软件加密的文件[CrySIS Ransom] Rakhni解密器用来解密CrySIS勒索软件加密的文件[Cryakl Ransom] Rakhni解密器用来解密Cryakl勒索软件加密的文件[Crybola Ransom] Rannoh解密器用来解密Crybola勒索软件加密的文件[Crypt888 Ransom] Crypt888解密器用来解密Crypt888勒索软件加密的文件[CryptON Ransom] Crypton解密器用来解密CryptON勒索软件加密的文件[CryptXXX V1/2/3/4/5 Ransom Rannoh解密器用来解密CryptXXX V1/2/3/4/5勒索软件加密的文件[CryptoMix Ransom] CryptoMix解密器用来解密CryptoMix勒索软件加密的文件[Cryptokluchen Ransom] Rakhni解密器用来解密Cryptokluchen勒索软件加密的文件[DXXD Ransom] Trend Micro Ransomware解密器用来解密DXXD勒索软件加密的文件[Damage Ransom] Damage解密器用来解密Damage勒索软件加密的文件[Democry Ransom] Rakhni解密器用来解密Democry勒索软件加密的文件[Derialock Ransom] Derialock解密器用来解密Derialock勒索软件加密的文件[Dharma Ransom] Rakhni解密器用来解密Dharma勒索软件加密的文件[EncrypTile Ransom] EncrypTile解密器用来解密EncrypTile勒索软件加密的文件[Everbe 1.0 Ransom] InsaneCryptDecrypter解密器用来解密Everbe 1.0勒索软件加密的文件[FenixLocker Ransom] FenixLocker解密器用来解密FenixLocker勒索软件加密的文件[FilesLocker v1 and v2 Ransom] FilesLockerDecrypter解密器用来解密FilesLocker v1 and v2勒索软件加密的文件[Fury Ransom] Rannoh解密器用来解密Fury勒索软件加密的文件[GandCrab (V1, V4 and V5 up to V5.2 versions) Ransom] BDGandCrabDecryptTool解密器用来解密GandCrab (V1, V4 and V5 up to V5.2 versions)勒索软件加密的文件[GetCrypt Ransom] 解密器用来解密GetCrypt勒索软件加密的文件[Globe1/2/3Ransom] Globe1/2/3解密器用来解密Globe勒索软件加密的文件[GlobeImposter Ransom] GlobeImposter解密器用来解密GlobeImposter勒索软件加密的文件[Gomasom Ransom] Gomasom解密器用来解密Gomasom勒索软件加密的文件[HKCrypt Ransom] HKCrypt解密器用来解密HKCrypt勒索软件加密的文件[Globe/Purge Ransom] Trend Micro Ransomware解密器用来解密Globe/Purge勒索软件加密的文件[HiddenTear Ransom] HiddenTear解密器用来解密HiddenTear勒索软件加密的文件[InsaneCrypt Ransom] InsaneCryptDecrypter解密器用来解密InsaneCrypt 勒索软件加密的文件[JSWorm 2.0 Ransom] JS WORM 2.0解密器用来解密JSWorm 2.0勒索软件加密的文件[Jaff Ransom] Rakhni解密器用来解密Jaff勒索软件加密的文件[Jigsaw Ransom] Jigsaw解密器用来解密Jigsaw勒索软件加密的文件[LECHIFFRE Ransom] Trend Micro Ransomware解密器用来解密LECHIFFRE勒索软件加密的文件[LambdaLocker Ransom] LambdaLocker解密器用来解密LambdaLocker勒索软件加密的文件[Lamer Ransom] Rakhni解密器用来解密Lamer勒索软件加密的文件[Linux.Encoder.1 Ransom] Linux.Encoder.1解密器用来解密Linux.Encoder.1勒索软件加密的文件[Linux.Encoder.3 Ransom] Linux.Encoder.3解密器用来解密Linux.Encoder.3勒索软件加密的文件[Lortok Ransom] Rakhni解密器用来解密Lortok勒索软件加密的文件[MacRansom Ransom] MacRansom解密器用来解密MacRansom勒索软件加密的文件[Marlboro Ransom] Marlboro解密器用来解密Marlboro勒索软件加密的文件[Marsjoke aka Polyglot Ransom] Rannoh解密器用来解密Marsjoke aka Polyglot勒索软件加密的文件[MegaLocker Ransom] MegaLocker解密器用来解密MegaLocker勒索软件加密的文件[Merry X-Mas Ransom] Merry X-Mas解密器用来解密Merry X-Mas勒索软件加密的文件[MirCop Ransom] Trend Micro Ransomware解密器用来解密MirCop勒索软件加密的文件[Mole Ransom] Mole解密器用来解密Mole勒索软件加密的文件[Nemucod Ransom] Nemucod 解密器用来解密Nemucod勒索软件加密的文件[NemucodAES Ransom] NemucodAES解密器用来解密NemucodAES勒索软件加密的文件[Nmoreira Ransom] Nmoreira解密器用来解密Nmoreira勒索软件加密的文件[Noobcrypt Ransom] Noobcrypt解密器用来解密Noobcrypt勒索软件加密的文件[Ozozalocker Ransom] Ozozalocker解密器用来解密Ozozalocker勒索软件加密的文件[PHP ransomware Ransom] PHP ransomware解密器用来解密PHP ransomware勒索软件加密的文件[Pewcrypt Ransom] Pewcrypt解密器用来解密Pewcrypt勒索软件加密的文件[Philadelphia Ransom] Philadelphia解密器用来解密Philadelphia勒索软件加密的文件[Planetary Ransom] Planetary解密器用来解密Planetary勒索软件加密的文件[Pletor Ransom] Rakhni解密器用来解密Pletor勒索软件加密的文件[Popcorn Ransom] Popcorn解密器用来解密Popcorn勒索软件加密的文件[Pylocky Ransom] pylocky_decryptor解密器用来解密Pylocky勒索软件加密的文件[Rakhni Ransom] Rakhni解密器用来解密Rakhni勒索软件加密的文件[Rannoh Ransom] Rannoh解密器用来解密Rannoh勒索软件加密的文件[Rotor Ransom] Rakhni解密器用来解密Rotor勒索软件加密的文件[SNSLocker Ransom] Trend Micro Ransomware解密器用来解密SNSLocker勒索软件加密的文件[Shade Ransom] Shade解密器用来解密Shade勒索软件加密的文件[Simplocker Ransom] Simplelocker解密器用来解密Simplocker勒索软件加密的文件[Stampado Ransom] Stampado解密器用来解密Stampado勒索软件加密的文件[Teamxrat/Xpan Ransom] Trend Micro Ransomware解密器用来解密Teamxrat/Xpan勒索软件加密的文件[TeslaCrypt V1/2/3/4 Ransom] TeslaDecrypt 解密器用来解密TeslaCrypt V1/2/3/4勒索软件加密的文件[Thanatos Ransom] Thanatos解密器用来解密Thanatos勒索软件加密的文件[Trustezeb Ransom] Trustezeb.A解密器用来解密Trustezeb勒索软件加密的文件[Wildfire Ransom] Wildfire解密器用来解密Wildfire勒索软件加密的文件[XData Ransom] Rakhni解密器用来解密XData勒索软件加密的文件[XORBAT Ransom] Trend Micro Ransomware解密器用来解密XORBAT勒索软件加密的文件[XORIST Ransom] Xorist解密器用来解密XORIST勒索软件加密的文件[ZQ Ransom] ZQ解密器用来解密ZQ勒索软件加密的文件勒索病毒识别类工具这类工具主要用于识别和检索各类已知的病毒。1、腾讯勒索病毒搜索引擎:https://guanjia.qq.com/pr/ls/2、VenusEye勒索病毒搜索引擎:https://lesuo.venuseye.com.cn/3、奇安信勒索病毒搜索引擎:https://lesuobingdu.qianxin.com/4、深信服勒索病毒搜索引擎:https://edr.sangfor.com.cn/#/information/ransom_search解密类工具这类工具主要是提供一些根据已知的病毒制作的杀毒、解密、备份等软件。1、腾讯哈勃勒索软件专杀工具:https://habo.qq.com/tool/index2、火绒勒索病毒解密工具集合:http://bbs.huorong.cn/thread-65355-1-1.html3、瑞星解密工具下载:http://it.rising.com.cn/fanglesuo/index.html4、nomoreransom勒索软件解密工具集:https://www.nomoreransom.org/zh/index.html5、卡巴斯基免费勒索解密器:https://noransom.kaspersky.com/作者:jiansiting、腾讯安全战略研究,如侵权请联系删除。参考来源:https://github.com/jiansiting/Decryption-Toolshttps://mp.weixin.qq.com/s/5Op9OBeOfHn_32aoQDSpzg 谷安最新认证课程咨询+双12福利领取发布于 2020-12-02 11:23信息安全勒索病毒注册信息安全专业人员(CISP)赞同 4添加评论分享喜欢收藏申请
勒索病毒详解+处置流程 - 知乎
勒索病毒详解+处置流程 - 知乎切换模式写文章登录/注册勒索病毒详解+处置流程码农玛卡巴卡勒索病毒特征即磁盘文件被加密,一旦完成勒索过程则无法恢复文件,因此这类病毒以预防为主,安装杀毒软件并做好主机防黑工作及时打补丁,对重要文件要及时隔离备份1.了解现状第一时间了解目前什么情况:文件被加密?设备无法正常启动?勒索信息展示?桌面有新的文本文件并记录加密信息及解密联系方式?2.了解中毒时间文件加密时间?设备无法正常启动的时间?新的文本文件的出现时间?了解事件发生时间,后面以此时间点做排查重点;3.了解系统架构4.确认感染机器5.感染文件特征和感染时间1、操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及解密联系方式;2、被加密的文件类型;3、加密后的文件后缀;6.被加密的文件类型.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc7.加密后的文件后缀.WNCRYT,.lock,.pre_alpha,.aes,.aes_ni,.xdata,.aes_ni_0day, .pr0tect,.[stopstorage@qq.com].java,文件后缀无变化;8.确认感染时间Linux系统:执行命令stat[空格]文件名,包括三个时间access time(访问时间)、modify time(内容修改时间)、change time(属性改变时间),如:例:stat /etc/passwdWindows系统:例:右键查看文件属性,查看文件时间9.处理方式未被感染主机:关闭SSH、RDP等协议,并且更改主机密码;备份系统重要数据、且文件备份应与主机隔离;禁止接入U盘、移动硬盘等可执行摆渡攻击的设备;被感染主机:立即对被感染主机进行隔离处置,禁用所有有线及无线网卡或直接拔掉网线防止病毒感染其他主机;禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备;无法定位到文件?木马执行完毕后自删除采用傀儡进程技术,恶意代码只在内存展开执行高级Rootkit或Bootkit级木马,强对抗性,三环工具无法探测解决方式收集系统事件日志,保持系统环境,请求后端技术支持案例一(1)事件概述某日接到应急响应请求:某外网服务器中敲诈者病毒。(2)事件分析应急响应人员到场了解情况后,发现服务器中植入勒索病毒,导致全盘文件被加密为java后缀格式文件,所有应用均无法使用。发现系统所有文件被加密为java后缀文件;桌面存在敲诈文件“FILES ENCRYPTED.txt”,内容为敲诈者的勒索信息,疑似攻击者邮箱为:xxxxxdx@qq.com;该email地址已有多起攻击事件:查看系统进程,发现天擎的相关防护服务已被关闭;进一步排查,发现服务器对外开放了3389远程桌面管理端口;administrator账户口令为弱口令,且自系统安装以来未修改过密码:(3)结论:服务器中“敲诈者”病毒,磁盘文件被全盘加密,目前暂时无法解密,只能通过重装操作系统来恢复,事件原因是黑客通过服务器3389端口弱口令进入,并上传加密程序执行加密;案例二应急响应小组成员在通过登录被加密感染的数据库服务器,发现其桌面上弹出勒索软件提示窗口:通过对被加密文件进行索引,发现加密的开始时间为2017年12月X日X点09分13秒;通过对系统日志进行分析,发现大量的远程桌面服务爆破日志:同时,于 2017年X月X日凌晨00点09分26秒,IP归属于荷兰的攻击者成功登录该系统:(3)结论向客户说明服务器中勒索病毒,目前暂时无法解密,只能通过重装操作系统来恢复;10.勒索病毒家族11.传播方式(一)服务器入侵传播黑客先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如,卸载服务器上的安全软件并手动运行勒索软件。这种攻击方式,一旦服务器被入侵,安全软件一般是不起作用的。管理员账号密码被破解,是服务器被入侵的主要原因。其中,管理员使用弱密码被黑客暴力破解,部分黑客利用病毒或木马潜伏用户电脑盗取密码,黑客还可从其他渠道直接购买账号密码(这里就涉及到敏感数据泄露问题了。)(二)利用漏洞自动传播通过系统自身漏洞进行传播扩散,是2017年的一个新特点。WannaCry勒索病毒就是利用永恒之蓝(EternalBlue)漏洞进行传播。此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金,但因传播方式不同,更难以防范,需要用户提高安全意识,及时更新有漏洞的软件或安装对应的安全补丁。(三)软件供应链攻击传播软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。(四)邮件附件传播通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件,一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。这类传播方式针对性较强,主要瞄准公司企业、各类单位和院校,电脑中往往不是个人文档而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。(五)利用挂马网页传播通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,没有特定的针对性,中招的受害者多数为“裸奔”用户,未安装任何杀毒软件。使用了MS17-010远程高危漏洞进行自我传播复制敲诈者通过文件加密方面的编程较为规范,流程符合密码学标准(RSA+AES加密),很难通过其他手段对勒索文件进行解密。12.勒索病毒攻击特点(一)无C2服务器加密技术流行2017年,我们发现黑客在对文件加密的过程中,一般不再使用C2服务器了,也就是说现在的勒索软件加密过程中不需要回传私钥了。这种技术的加密过程大致如下:1)在加密前随机生成新的加密密钥对(非对称公、私钥)2)使用该新生成新的公钥对文件进行加密3)把新生成的私钥采用黑客预埋的公钥进行加密保存在一个ID文件或嵌入在加密文件里解密过程大致如下:1)通过邮件或在线提交的方式,提交ID串或加密文件里的加密私钥(该私钥一般黑客会提供工具提取);2)黑客使用保留的预埋公钥对应的私钥解密受害者提交过来的私钥;3)把解密私钥或解密工具交付给受害者进行解密。通过以上过程可以实现每个受害者的解密私钥都不相同,同时可以避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。显然 ,这种技术是针对采用了各种隔离措施的政企机构所设计的。(二)攻击目标转向政企机构2017年,勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。(三)针对关键信息基础设施的攻击以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。(四)攻击目的开始多样化顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。(五)勒索软件平台化运营2017年,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。(六) 境外攻击者多于境内攻击者2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。13.勒索病毒事件防御个人终端防御技术(一)文档自动备份隔离保护文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。鉴于勒索软件一旦攻击成功往往难以修复,而且具有变种多,更新快,大量采用免杀技术等特点,因此,单纯防范勒索软件感染并不是“万全之策”。但是,无论勒索软件采用何种具体技术,无论是哪一家族的哪一变种,一个基本的共同特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征,通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,就可以在相当程度上帮助用户挽回勒索软件攻击的损失。文档自动备份隔离技术就是在这一技术思想的具体实现,360将其应用于360文档卫士功能模块当中。只要电脑里的文档出现被篡改的情况,它会第一时间把文档自动备份在隔离区保护起来,用户可以随时恢复文件。无论病毒如何变化,只要它有篡改用户文档的行为,就会触发文档自动备份隔离,从而使用户可以免遭勒索,不用支付赎金也能恢复文件。360文档卫士的自动备份触发条件主要包括亮点:一、开机后第一次修改文档;二、有可疑程序篡改文档。当出现上述两种情况时,文档卫士会默认备份包括Word、Excel、PowerPoint、PDF等格式在内的文件,并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式。比如电脑里的照片非常重要,就可以把jpg等图片格式加入保护范围。此外,360文档卫士还集合了“文件解密”功能,360安全专家通过对一些勒索软件家族进行逆向分析,成功实现了多种类型的文件解密,如2017年出现的“纵情文件修复敲诈者病毒”等。如有网友电脑已不慎中招,可以尝试通过“文档解密”一键扫描并恢复被病毒加密的文件。(二)综合性反勒索软件技术与一般的病毒和木马相比,勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击,已经成为一种主流的技术趋势。下面就以360安全卫士的相关创新功能来分析综合性反勒索软件技术。相关技术主要包括:智能诱捕、行为追踪、智能文件格式分析、数据流分析等,具体如下。智能诱捕技术是捕获勒索软件的利器,其具体方法是:防护软件在电脑系统的各处设置陷阱文件;当有病毒试图加密文件时,就会首先命中设置的陷阱,从而暴露其攻击行为。这样,安全软件就可以快速无损的发现各类试图加密或破坏文件的恶意程序。行为追踪技术是云安全与大数据综合运用的一种安全技术。基于360的云安全主动防御体系,通过对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改则立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击,能够主动防御最新出现的勒索病毒。智能文件格式分析技术是一种防护加速技术,目的是尽可能的降低反勒索功能对用户体验的影响。实际上,几乎所有的反勒索技术都会或多或少的增加安全软件和电脑系统的负担,相关技术能否实用的关键就在于如何尽可能的降低其对系统性能的影响,提升用户体验。360研发的智能文件格式分析技术,可以快速识别数十种常用文档格式,精准识别对文件内容的破坏性操作,而基本不会影响正常文件操作,在确保数据安全的同时又不影响用户体验。数据流分析技术,是一种将人工智能技术与安全防护技术相结合的新型文档安全保护技术。首先,基于机器学习的方法,我们可以在电脑内部的数据流层面,分析出勒索软件对文档的读写操作与正常使用文档情况下的读写操作的区别;而这些区别可以用于识别勒索软件攻击行为;从而可以在“第一现场”捕获和过滤勒索软件,避免勒索软件的读写操作实际作用于相关文档,从而实现文档的有效保护。企业级终端防御技术(一)云端免疫技术在国内,甚至全球范围内的政企机构中,系统未打补丁或补丁更新不及时的情况都普遍存在。这并非是简单的安全意识问题,而是多种客观因素限制了政企机构对系统设备的补丁管理。因此,对无补丁系统,或补丁更新较慢的系统的安全防护需求,就成为一种“强需求”。而云端免疫技术,就是解决此类问题的有效方法之一。这种技术已经被应用于360的终端安全解决方案之中。所谓云端免疫,实际上就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户电脑做防护或打补丁;对于无法打补丁的电脑终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵;除此之外,云端还可以直接升级本地的免疫库或免疫工具,保护用户的电脑安全。需要说明的事,云端免疫技术只是一种折中的解决方案,并不是万能的或一劳永逸的,未打补丁系统的安全性仍然比打了补丁的系统的安全性有一定差距。但就当前国内众多政企机构的实际网络环境而诺言,云端免疫不失为一种有效的解决方案。(二)密码保护技术针对中小企业网络服务器的攻击,是2017年勒索软件攻击的一大特点。而攻击者之所以能够渗透进入企业服务器,绝大多数情况都是因为管理员设置的管理密码为弱密码或帐号密码被盗。因此,加强登陆密码的安全管理,也是一种必要的反勒索技术。具体来看,加强密码保住主要应从三个方面入手:一是采用弱密码检验技术,强制网络管理员使用复杂密码;二是采用反暴力破解技术,对于陌生IP的登陆位置和登陆次数进行严格控制;三是采用VPN或双因子认证技术,从而使攻击者即便盗取了管理员帐号和密码,也无法轻易的登陆企业服务器。文章转自网络信科技,侵删原文链接:https://mp.weixin.qq.com/s/Cb6_w-d1wHfjthfWkMH2WQ发布于 2023-12-19 17:32・IP 属地河南勒索病毒网络安全渗透测试赞同 11 条评论分享喜欢收藏申请