找回密码
 立即注册

QQ登录

只需一步,快速开始

Erik.Xue 讲师达人认证 悬赏达人认证 活字格认证 Wyn认证
超级版主   /  发表于:2022-1-11 17:05  /   查看:2744  /  回复:0
本帖最后由 Erik.Xue 于 2022-1-11 17:09 编辑

勒索病毒相关原因
image.png612979125.png
下面总结几个常见的勒索病毒中招原因:
1、开启了远程桌面 ,设置的密码太简单、或使用初始密码,被登录投毒。太简单、或使用初始密码,被登录投毒;

2、下载了激活工具或者破解软件导致中毒文件被加密;

3、运行了钓鱼邮件中的附件导致中毒文件被加密;

4、系统中存在漏洞导致中毒文件被加密;

5、其它弱口令攻击,例如mysql,mssql、tomcat等。

防护建议

1、定期检测系统和软件中的安全漏洞,及时打上补丁。

2、定期检测杀毒软件是否存在异常拦截情况。

3、定期检测系统账户是否存在异常:
  • a) 是否有新增账户;
  • b) Guest 是否被启用;
  • c) 是否有账户异常登录记录;
  • d) 口令是否设置仍均满足复杂度要求,且定期有更换口令。

4、定期检测是否有对重要文件夹/数据库进行备份。

5、定期检测未经允许对 3389、445、139 等端口进行开放。

6、培养全意识,如识别钓鱼邮件、钓鱼页面等。

FAQ(问题解答)

1、中毒系统需要重装吗?

2、建议找到具体中招原因后再重装。在过往的案例中,存在因病毒入侵途径未被找到并及时封堵所导致的多次中招案例,且存在付款后再次被加密案例。

3、勒索病毒是否会在内网中横向转播?

4、大部分黑客在投毒之前会先尝试拿到内网中更多机器的权限,手段不限,常见手段如下:

--弱口令攻击
包括远程桌面弱口令、数据库弱口令、tomcat弱口令、共享文件夹弱口令等等。
--漏洞攻击
如永恒之蓝相关漏洞、java漏洞、weblogic漏洞、泛微OA漏洞等等。
--非主动传播
中毒机器所在内网种存在部分机器设置了共享文件夹,并且未设置访问权限,导致中毒机器能直接访问到该机器的文件,从而导致文件被加密。

因此,内网中中毒机器应及时断网,找到中毒原因后再做处理。同时应立即修改内网中所有机器的密码,因为黑客登录用户机器后都会尝试收集内网中其他机器的口令。

万不得已的办法

购买密钥需要注意什么?
首先,我们不推荐任何形式的交付赎金行为。若您执意要购买密钥,我们建议应注意以下几点:

一、不建议直接向黑客付款。直接向黑客付款存在很大风险:
    ----其一是可能拿到的解密工具并不能使用;
    ----其二是可能存在密钥不对,无法解密您的文件;
    ----其三是黑客可能会再次甚至多次向您索要赎金。

二、若必须向黑客付款,可在支付前先向黑客发送 1 到 2 个被加密文件,确认能解密成功后 再确定是否付款。

三、通过淘宝、搜索引擎或其它方式联系到的解密服务商,正式开展解密工作前一定要签订合同,明确解密不成功是否需要付款等问题,必要时可要求上门服务。

四、 不要咨询过多第三方商家。因为第三方大多都是去找黑客购买密钥。过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询,这可能导致黑客觉察到你对数据恢复有 强烈需求,从而提高赎金。

五、不要过度描述自己文件的重要性或自身的经济实力,这可能会造成解密商或黑客提高佣金或赎金要求。

0 个回复

您需要登录后才可以回帖 登录 | 立即注册
返回顶部