本帖最后由 Erik.Xue 于 2022-1-11 17:09 编辑
勒索病毒相关原因 下面总结几个常见的勒索病毒中招原因: 1、开启了远程桌面 ,设置的密码太简单、或使用初始密码,被登录投毒。太简单、或使用初始密码,被登录投毒;
2、下载了激活工具或者破解软件导致中毒文件被加密;
3、运行了钓鱼邮件中的附件导致中毒文件被加密;
4、系统中存在漏洞导致中毒文件被加密;
5、其它弱口令攻击,例如mysql,mssql、tomcat等。
防护建议
1、定期检测系统和软件中的安全漏洞,及时打上补丁。
2、定期检测杀毒软件是否存在异常拦截情况。
3、定期检测系统账户是否存在异常: - a) 是否有新增账户;
- b) Guest 是否被启用;
- c) 是否有账户异常登录记录;
- d) 口令是否设置仍均满足复杂度要求,且定期有更换口令。
4、定期检测是否有对重要文件夹/数据库进行备份。
5、定期检测未经允许对 3389、445、139 等端口进行开放。
6、培养全意识,如识别钓鱼邮件、钓鱼页面等。
FAQ(问题解答)
1、中毒系统需要重装吗?
2、建议找到具体中招原因后再重装。在过往的案例中,存在因病毒入侵途径未被找到并及时封堵所导致的多次中招案例,且存在付款后再次被加密案例。
3、勒索病毒是否会在内网中横向转播?
4、大部分黑客在投毒之前会先尝试拿到内网中更多机器的权限,手段不限,常见手段如下:
--弱口令攻击 包括远程桌面弱口令、数据库弱口令、tomcat弱口令、共享文件夹弱口令等等。 --漏洞攻击 如永恒之蓝相关漏洞、java漏洞、weblogic漏洞、泛微OA漏洞等等。 --非主动传播 中毒机器所在内网种存在部分机器设置了共享文件夹,并且未设置访问权限,导致中毒机器能直接访问到该机器的文件,从而导致文件被加密。
因此,内网中中毒机器应及时断网,找到中毒原因后再做处理。同时应立即修改内网中所有机器的密码,因为黑客登录用户机器后都会尝试收集内网中其他机器的口令。
万不得已的办法
购买密钥需要注意什么? 首先,我们不推荐任何形式的交付赎金行为。若您执意要购买密钥,我们建议应注意以下几点:
一、不建议直接向黑客付款。直接向黑客付款存在很大风险: ----其一是可能拿到的解密工具并不能使用; ----其二是可能存在密钥不对,无法解密您的文件; ----其三是黑客可能会再次甚至多次向您索要赎金。
二、若必须向黑客付款,可在支付前先向黑客发送 1 到 2 个被加密文件,确认能解密成功后 再确定是否付款。
三、通过淘宝、搜索引擎或其它方式联系到的解密服务商,正式开展解密工作前一定要签订合同,明确解密不成功是否需要付款等问题,必要时可要求上门服务。
四、 不要咨询过多第三方商家。因为第三方大多都是去找黑客购买密钥。过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询,这可能导致黑客觉察到你对数据恢复有 强烈需求,从而提高赎金。
五、不要过度描述自己文件的重要性或自身的经济实力,这可能会造成解密商或黑客提高佣金或赎金要求。
|