阿里云
发表主题 回复主题
  • 8237阅读
  • 0回复

[云安全技术和产品专区 ]关于XTBL和wallet勒索病毒应急处理方案

级别: 论坛版主
发帖
234
云币
459
病毒名称: 1:<=zqh0  
  • XTBL(已经可以破解)
  • wallet(暂无破解方法)
a hi lp$v  
病毒类型: gakmg#ki  
勒索病毒 (黑客勒索受利益驱使,不接受现金,使用bitcoin进行勒索交易) `IQ01FuP  
Dm=t`_DL8  
]>fAV(ix  
利用手法: 6AeX$>k+  
AES或 RSA算法批量加密上百种后缀文件类型或者应用程序,并且把原来的文件名后缀为:xxxxx@aol.com或者 xxxxx@ india.com.wallet k CkSu-  
>jEn>H?  
:fI|>I ~  
危险等级: )3<|<jwcx  
高危 ji(W+tQ2Y'  
V{17iRflf  
Wx#((T  
入侵手段: x\t)uM%  
远程控制协议漏洞(RDP弱口令),远程密码泄露。 ^UP!y!&N  
也可以利用其它任何利用方式进行升级演变入侵方式。 pKDP1S# <  
KK; 3<kX  
M<Mr L[*j  
病毒特征: %2Q:+6)  
黑客留下了他们的联系方式在所有的被加密文件上,具体受影响事件案例如下: NpV# zzE  
XTBL病毒感染样例: (9:MIP  
x2p}0N  
J2cqnwUV  
WALLET病毒感染样例: WAPN,WuW  
`>CHE'_  
预防方案: ;h[p "  
  • 异地备份数据,并确保数据可以被验证可恢复,建议全量备份,如数据量过大,可以选择不定期的实时全量+增量备份混合方案,推荐快照方案和OSS异地备份;
  • 如果需要远程管理,使用ECS安全组确保它是白名单的IP的防火墙或不暴露到互联网,把RDP、SSH、FTP或其他重要内网管理后台隐藏起来,仅限于内网访问,降低暴露在互联网被攻击的风险;
  • 安装企业级防病毒软件,推荐:赛门铁克、卡巴斯基;
  • 安全补丁打上(如果有条件还是上windows server 2016),修改远程控制账户密码,做好密码的管理工作,配置好密码策略,定期更新管理员账号名称和密码更新策略;
dz fR ^Gv  
)1Rn;(j9Re  
^lVZW8  
恢复数据的步骤: 1e`/N+6u  
cIqk=_]  
<p"[jC2zF;  
  • 建议重新部署系统或回滚之前正常状态的快照,并对操作系统和业务代码进行安全加固;
  • 修改所有管理端口的账号和密码,并配置强口令,建议对管理端口和管理后台禁止开放到互联网
  • 恢复完毕后,立即对ECS配置定期快照策略,同时做好异地数据备份工作;
q{v:T}Q|A  
关于更多的技术加固文档请参见:https://bbs.aliyun.com/read/304556.html?spm=5176.bbsl215.0.0.lresq1 n%; wQ^  
XTBL请使用免费的卡巴斯基破解工具 rannohdecryptor.zip (577 K) 下载次数:306 C?@vBM}  
W- Q:G=S-  
^VsX9  
作为安全厂商,目前世界上大部分勒索病毒都是被卡巴司机实验室攻破,感谢卡巴斯基为防御勒索软件做出的贡献,更多勒索软件也请随时关注: R<$_ <z  
A4RA5N/}  
>]N}3J}47g  
Kx.'^y  
noY~fq/U  
[ 此帖被正禾在2017-02-09 12:15重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个