阿里云
发表主题 回复主题
  • 8536阅读
  • 0回复

[云安全技术和产品专区 ]关于XTBL和wallet勒索病毒应急处理方案

级别: 论坛版主
发帖
240
云币
471
病毒名称: DIw_"$'At  
  • XTBL(已经可以破解)
  • wallet(暂无破解方法)
L~^5Ez6U  
病毒类型: E3l*_b0  
勒索病毒 (黑客勒索受利益驱使,不接受现金,使用bitcoin进行勒索交易) nJGs,~"  
co3\1[q"b  
)UM^#<-  
利用手法: ]ly" K!1,  
AES或 RSA算法批量加密上百种后缀文件类型或者应用程序,并且把原来的文件名后缀为:xxxxx@aol.com或者 xxxxx@ india.com.wallet $XTtDUP@  
EwX{i}j_V  
`CH,QT7e  
危险等级: ;Xy=;Z.]i  
高危 W7 dSx  
D4,>g )B  
jeJgDAUv  
入侵手段: /.<v,CR  
远程控制协议漏洞(RDP弱口令),远程密码泄露。 rv(?%h`  
也可以利用其它任何利用方式进行升级演变入侵方式。 ($kw*H{Ah^  
{x.0Yh7  
<JH,B91  
病毒特征: jT =|!,Pn  
黑客留下了他们的联系方式在所有的被加密文件上,具体受影响事件案例如下: )?UoF&c/  
XTBL病毒感染样例: 1*Pxndt&  
GaG>0 x   
P|bow+4  
WALLET病毒感染样例: a \1QnCy  
M|K^u.4  
预防方案: #YYJ4^":k  
  • 异地备份数据,并确保数据可以被验证可恢复,建议全量备份,如数据量过大,可以选择不定期的实时全量+增量备份混合方案,推荐快照方案和OSS异地备份;
  • 如果需要远程管理,使用ECS安全组确保它是白名单的IP的防火墙或不暴露到互联网,把RDP、SSH、FTP或其他重要内网管理后台隐藏起来,仅限于内网访问,降低暴露在互联网被攻击的风险;
  • 安装企业级防病毒软件,推荐:赛门铁克、卡巴斯基;
  • 安全补丁打上(如果有条件还是上windows server 2016),修改远程控制账户密码,做好密码的管理工作,配置好密码策略,定期更新管理员账号名称和密码更新策略;
~(ke'`gJ0-  
V7Cnu:0_  
B(++*#T!^m  
恢复数据的步骤: z'_Fg0kR{  
Vv}R S@4U  
R-S<7Q3E0=  
  • 建议重新部署系统或回滚之前正常状态的快照,并对操作系统和业务代码进行安全加固;
  • 修改所有管理端口的账号和密码,并配置强口令,建议对管理端口和管理后台禁止开放到互联网
  • 恢复完毕后,立即对ECS配置定期快照策略,同时做好异地数据备份工作;
,;6V=ok  
关于更多的技术加固文档请参见:https://bbs.aliyun.com/read/304556.html?spm=5176.bbsl215.0.0.lresq1 BZ?Ck[E]Z  
XTBL请使用免费的卡巴斯基破解工具 rannohdecryptor.zip (577 K) 下载次数:309 TXmS$q   
2CO/K_Q  
)x7n-|y6  
作为安全厂商,目前世界上大部分勒索病毒都是被卡巴司机实验室攻破,感谢卡巴斯基为防御勒索软件做出的贡献,更多勒索软件也请随时关注: () _RLA  
hr fF1 >A  
3- Kgz  
heCM+ =#~  
jU j\<aW  
[ 此帖被正禾在2017-02-09 12:15重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 52 - 25 = ?
上一个 下一个