勒索病毒是目前最主流的电脑病毒之一,它会利用各种加密算法对被感染者电脑中的文件进行加密,影响文件的打开和使用,进而勒索赎金。下面我们就来了解一下勒索病毒的分类,以及感染勒索病毒后的解决办法。
勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播。以下就是勒索病毒的常见分类:
勒索病毒的主要攻击手段有弱口令攻击、横向渗透、钓鱼邮件、利用系统漏洞或应用软件漏洞攻击、网站挂马攻击、破解软件与激活工具、僵尸网络和供应链攻击等。
在这些攻击手段中,利用系统漏洞是最为常见的,它的最大特点是被动性。病毒会自动扫描网络中存在系统漏洞的主机,只要没有安装补丁,即使没有点开邮件、没有访问恶意网站,也可能被攻击。
在感染某一台主机后,病毒往往不急着开始“工作”,而是尽可能利用各种手法来自我复制,进行不同文件、不同主机间的相互感染,最终将病毒扩散到整个局域网。等病毒爆发时,往往就是整个单位、整个企业的电脑全部被锁。
完成了“热身”,病毒开始“大显身手”。一方面,它会通过格式篡改的方式,加密电脑中的文档、图片等文件;另一方面,它会将感染电脑上的机密文件上传到黑客服务器上。
在成功加密、窃取文件之后,病毒会在桌面或醒目位置生成一个提醒用户文件已被锁定/窃
取,指引其交赎金的文件。对于一些知名企业,如果不及时交赎金,黑客会在暗网陆续公开窃得的机密文件,以实现施压的目的。
物理隔离被感染的主机,最好是直接拔网线,云环境及时修改安全组策略,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通信,防止内网感染,如果被勒索的机器和未被勒索的机器存在相同的登陆口令,及时修改未感染机器的登陆口令。
保障被感染主机,与内网其他主机进行隔离。及时关闭未感染机器远程桌面、共享端口,尽快排查业务系统与备份系统是否受到影响,确定病毒影响范围。
对于未感染的机器进行备份,备份后及时物理隔离开备份数据,如硬盘或者U盘备份后需要及时拔掉。
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
对于十分重要、无备份且不能恢复的机器,应禁止杀毒、关机、重启、修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致数据永远无法恢复。对于有备份,或者实在不能恢复的机器,最好重装系统,或者将业务迁移到其他服务器上。
在不了解勒索病毒的情况下,不要直接联系黑客,容易钱财两空。可选择使用解密工具进行恢复,通常的解密工具是通过已公开的密钥快来解密。使用解密工具之前,务必要备份加密的文件,防止解密不成功导致无法恢复数据。
无论是个人还是企业,一旦被勒索病毒感染后,都不建议支付赎金。支付赎金不但鼓励了勒索攻击行为,还可能会留下“后遗症”。因此,我们可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。总之,勒索病毒重在防范,日常进行合理的数据备份,避免数据受损。
欢迎访问夏冰加密软件技术博客,您的数据安全知识库和加密技术资讯平台。我们致力于提供最新的加密技术动态、深入的行业资讯以及实用的软件使用技巧,帮助您在数字时代中保护好每一比特的数据。