公司不幸中了.eking勒索病毒,到现在已经12天了。这次事故,造成公司6台服务器故障,包括主域控,额外域控,包括ERP,MES应用系统 ......。另有3台员工电脑被黑。波及分公司和总部。一直到昨天晚上,数据基本上都已经找回,大部分应用已经恢复。整整11天,我一个人独自奋战11天,感觉头脑已经不属于自己,非常累,压力非常大。第1天干到夜里12点多,一个人到公司楼下,非常沮丧。晚上回到家里又睡不着,周六,周日早上4点爬起来去公司。这段经历非常深刻,对我自己,对公司都是一个警醒。我把它写下记录下来,特别是遇到勒索病毒处理办法,希望给有需要的人参考,内容不一定对,参考就好。
一、发现勒索病毒处理办法
1、第一次遇到勒索病毒,可能会很慌张,不知道所措,首先要冷静。立即断网,所有服务器网线拔掉,交换机断电,物理隔离,修改系统账号密码。
2、报告领导或老板,汇报公司中了勒索病毒,成立勒索病毒处理小组。小组成员要有老板,把公司里面经历或有了解勒索病毒的同事也邀请进来。其实成立这个小组对问题处理效果不大,但是这个小组又是不可或缺的。因为同事讨论,虽然不能帮你处理病毒事情,但可以让老板从中认识问题严重性,从而分担自己的压力。
3、寻求专业信息安全公司帮忙,成立勒索病毒应急小组。专业信息安全公司会从病毒取证上分析病毒发生的时间,原因。提供防勒索病毒软件,用来对公司电脑和服务器提供应急预防,提供流量探针设备,对网内流量进行跟踪分析,寻找攻击来源。经过专业信息安全公司的帮忙,可以快速定位病毒来源,攻击方式,传播途径等等,我这次是黑客在荷兰通过我的一台服务器漏洞,进行账号密码的爆破,爆破了密码取得服务器管理权实施勒索病毒。
4、接着,确认数据损失情况,有无备份,争取把损失降到最低。中了勒索病毒机器,一般会留下信息,比如你电脑文件 已被 加密,如需要解密请联络某某某邮箱。如数据备份不全,需要恢复数据,可以给黑客发送邮件
5、数据备份,经过上面专业信息安全公司处理,服务器可疑进程会被找到,我这里是一个fast.exe进程,会在系统启动项里创建。结程进程,注册表删除可疑启动项,杀毒。这里要说明的是,杀毒对后绪数据解密没有影响。为了数据解开后不在再重新加密,这个杀毒工作一定要做的。
6、数据解密,我这次域控被黑了,SQL数据库也坏了,数据少一点都不行,没有办法只能和黑客联络了。黑客一般都会回复你邮件,并会给出价格。这里可以找一个第三方的公司做代付,以确保你付给黑客钱后拿不到解密工具,黑客又失踪了。第三方公司熟悉付款流程,又懂得与黑客沟通,千万不要自己付款。
? ? 确认价钱后,会收到一个扫码工具,在中勒索病毒的机器上进行扫描,会把电脑所有文件扫描一遍,找到ID和公钥。解密时,会把黑客发的密钥填写在扫码工具里进行扫描,文件会自动解密。可以使用everything工具,找果有多少个被加密的文件,解密时,也可以看到加密文件数量的变化。确保全部解密,解密时长看文件数量,我其中一台解密了一个晚上才完成。然后把解密出来的文件立刻备份。
7、应用恢复。确保勒索病毒清理彻底,一般建议windows重装,重新部署应用,对于sql数据库,还要检查解密后数据完整性,确保没问题。
8、网络安全加固,系统打补丁,关闭防火墙不必要端口,安装防勒索病毒软件。
以上简单列出几点解决处理方法,虽然简单几条,但实施起来繁琐耗时。
二、警钟
防范是首要的,一旦中了勒索病毒,处理起来要脱了一层皮....背负压力,精力。
1、备份是前提,如果服务器多,数据量大,手动备份是不现实的。一定要自动备份,如备份一体,备份设备要带有防勒索功能,一旦备份设备中标,能快速恢复。我这次用的一台NAS被感染,因为有自动快照,马上恢复了。
2、windows系统备份文件要离线备份,出现问题可以恢复。我这次主域控被黑了,因没备份文件 没有离线备份,也被感染不能用了。造成了很大的问题。
3、路由器,防火墙,没有必要的端口不要开放,服务器不要常时间在线主流远程软件,如向日葵,VNC ,teamwiver等。
4、系统要定期更新打补丁,账号密码要定期修改,密码要有一定复杂性。
就先写这些吧,有其他建议欢迎大家补充。
