阿里云
1024开发者盛宴之Java专家问答专场
发表主题 回复主题
  • 8968阅读
  • 0回复

[云安全技术和产品专区 ]关于XTBL和wallet勒索病毒应急处理方案

级别: 论坛版主
发帖
240
云币
472
病毒名称: I, 7~D!4G  
  • XTBL(已经可以破解)
  • wallet(暂无破解方法)
B=ckRW q  
病毒类型: W|2o^ V  
勒索病毒 (黑客勒索受利益驱使,不接受现金,使用bitcoin进行勒索交易) cj[a^ ZH  
egXHp<bqw  
f`;y "ba  
利用手法: F.rNh`44  
AES或 RSA算法批量加密上百种后缀文件类型或者应用程序,并且把原来的文件名后缀为:xxxxx@aol.com或者 xxxxx@ india.com.wallet k<&zVV '  
-RLY.@'d-M  
kv!QO^;^Y  
危险等级: h+\+9^l6|  
高危 (7X|W<xT  
a- \M)}T  
KF.O>c87&  
入侵手段: 24g\x Nnt  
远程控制协议漏洞(RDP弱口令),远程密码泄露。 2uCw[iZM  
也可以利用其它任何利用方式进行升级演变入侵方式。 JJQS7,vG  
bHKTCPf  
~M c'~:{O  
病毒特征: =%)Y, )"  
黑客留下了他们的联系方式在所有的被加密文件上,具体受影响事件案例如下: -n:~m p  
XTBL病毒感染样例: a<NZC  
+!~"o oQZh  
IgmCZ?l&0  
WALLET病毒感染样例: ]Pp}=hcD  
/!i`K{  
预防方案: hl/) 1sOIR  
  • 异地备份数据,并确保数据可以被验证可恢复,建议全量备份,如数据量过大,可以选择不定期的实时全量+增量备份混合方案,推荐快照方案和OSS异地备份;
  • 如果需要远程管理,使用ECS安全组确保它是白名单的IP的防火墙或不暴露到互联网,把RDP、SSH、FTP或其他重要内网管理后台隐藏起来,仅限于内网访问,降低暴露在互联网被攻击的风险;
  • 安装企业级防病毒软件,推荐:赛门铁克、卡巴斯基;
  • 安全补丁打上(如果有条件还是上windows server 2016),修改远程控制账户密码,做好密码的管理工作,配置好密码策略,定期更新管理员账号名称和密码更新策略;
3>'TYXs-  
%&5PZmnW  
ez-jVi-Fi  
恢复数据的步骤: `;}w!U  
u\A L`'v  
 5(\H:g\z  
  • 建议重新部署系统或回滚之前正常状态的快照,并对操作系统和业务代码进行安全加固;
  • 修改所有管理端口的账号和密码,并配置强口令,建议对管理端口和管理后台禁止开放到互联网
  • 恢复完毕后,立即对ECS配置定期快照策略,同时做好异地数据备份工作;
Dq~ \U&U\$  
关于更多的技术加固文档请参见:https://bbs.aliyun.com/read/304556.html?spm=5176.bbsl215.0.0.lresq1 #iiXJnG  
XTBL请使用免费的卡巴斯基破解工具 rannohdecryptor.zip (577 K) 下载次数:309 L%`MoTpK q  
Z}AhDIw!G  
;Tec)Fl  
作为安全厂商,目前世界上大部分勒索病毒都是被卡巴司机实验室攻破,感谢卡巴斯基为防御勒索软件做出的贡献,更多勒索软件也请随时关注: \zT{zO&!  
yno X=#`  
1xD?cA\vu  
r [E4/?_  
2PC:F9dh\  
[ 此帖被正禾在2017-02-09 12:15重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个