熟悉的味道 我知道

最新推荐文章于 2022-09-04 22:01:18 发布
最新推荐文章于 2022-09-04 22:01:18 发布
阅读量176 收藏 1
点赞数 1
文章标签: 数据仓库 大数据 数据库架构 etl工程师 数据库开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SH_fengran123/article/details/124003929
版权

星期五早晨,像往常一样,照例打开电脑准备工作。突然发现桌面有几个莫名其妙的DOS运行窗口,虽有疑惑但并未仔细确认。将几个窗口直接关闭。关闭窗口几秒钟后,突然发现桌面上的图标或文件突然都变成了灰色。再仔细一查看。变成了灰色的文件后缀都莫名其妙加了一串值,在最后的后缀为Devos。突然惊醒,这东西似曾相识。预感到了事情不妙。

桌面所有文件被加密

2.勒索病毒被确认

对于眼前的一切,我立即意识到了这是勒索病毒。然后我马上查看了一下除了桌面以外的其它盘符的文件。 一确认,我心都凉了半截。整个电脑大部分文件都变成了灰色状态(被加密后添加了文件后缀)。

被加密后的文件

3.勒索病毒确认后的无奈

我深知这种病毒的厉害。很害怕病毒在公司局域网持续传播,我立即拔掉了自己电脑的网线。拔掉网线后我想结束掉病毒程序,防止自己电脑文件都被加密。打开任务管理器想结束掉病毒程序,但不知道病毒的进程到底是哪一条,无法结束。后来眼睁睁的看着文件被逐步加密(中毒)。

4.中病毒后的处理

由于电脑文件都被逐步加密(中毒),自己手头上确还有很多工作要做。只有想办法快速恢复工作。很无奈的决定重装系统,格式化整个硬盘。

5.局域网更多设备被感染

在我重装系统的过程中,有同事在讨论某些文件无法访问和使用。 后来经过我确认发现都是Phobos家族的Devos勒索病毒。我意识到了事情的严重性。立马找来公司前台发了一个紧急通知。通知如下:

中毒后发的紧急通知

勒索病毒 执行程序被发现

1.超熟悉的DOS窗口

打开内网某台服务器,发现桌面上的文件都被加密了。并且在桌面上有我早上自己电脑上看到过的类似DOS窗口。

某台内网用服务器上面多出2个正在运行的程序

2.再次遇见超熟悉的DOS窗口

下午工作工程中再次发现某台内部用的服务器异常卡顿,桌面上也有超熟悉的DOS窗口,而这些运行文件的存放位置也异常诡异。存放位置位于用户账户下的music目录内。

再次遇见熟悉的窗口

3.将这些异常目录下的文件进行确认

由于服务器是公司内部公用电脑,有多个同事可以访问。于是将刚才几个异常目录下的文件调出来让同事确认是否是同事存放的。经过确认所有人都说这些文件不是他们存放的。因此我将这几个可疑程序进行了加密拷贝。方便后续的相应分析。

疑似勒索病毒程序文件

4.确认这些可以文件就是病毒程序

后续将这些异常文件拷贝到虚拟机进行运行,发现无论是否断网。这些病毒程序都可以大概十几秒钟时间里感染桌面及系统盘大部分文件。

勒索病毒 中毒症状及应对流程

以下截图来源于虚拟机,虚拟机安装的是win10 64位专业版。经过多次测试分析,大概分析出了病毒的扩散原理及应对策略

1.中毒后症状

中此病毒症状就是有电脑文件被加密。

中毒后文件被加密

病毒的研发者最终目的是勒索钱财(比特币),所以在加密一定文件后会给你提醒交付赎金的联系方式。联系方式如下:

中毒勒索文件1-程序提醒

中毒勒索文件2-文本文件提醒

2.中毒后应对流程

当发现自己电脑中毒后,为了保证局域网更多电脑不被受损,请按照以下流程依次操作

  1. 拔掉网线(防止病毒扩散及为解密提供必要条件)
  2. 拔下所有存储设备
  3. 结束掉病毒或可疑执行文件(图片附后)
    经过确认此次我中病毒的进程为“Fast”

    此次病毒文件进程

此次病毒文件相关程序

  1. 注销云存储帐户(防止云存储的文件被加密)
  2. 关闭所有共享文件夹
  3. 切记不要重启电脑,且马上检查电脑自启动项是否被添加了病毒执行文件(运行处输入-"shell:startup"进行查看),如有请立即删除此文件。

    开机运行程序被加入病毒文件

  4. 备份还未被感染重要资料(拿一个全新的U盘将还未被加密的资料进行拷贝),此时拷贝的文件可能含有病毒文件,请勿直接到没有杀毒软件的电脑上读取。

# 3.勒索病毒 传播思考

  • 公网端口扫描
    经过资料查阅与学习,此类勒索病毒基本上是通过广撒网方式进行病毒传播。特别是电脑开启了直接暴露在外网的端口。如3389 远程端口、3306 mysql数据库端口等常用软件默认端口。黑客利用这些端口的一些漏洞进行病毒传播

  • 局域网共享文件传播
    局域网中有Windows终端感染勒索病毒,局域网中部分电脑使用了网络驱动器映射(文件共享)的方式进行文件传播,因此通过文件共享的方式进行病毒传播。

个人认为此次我经历的传播方式就是共享文件传播,下图反映的就是中毒的某台电脑对整个局域网进行扫描。扫描出哪些电脑开启了文件共享,然后将没有密码共享的电脑及有密码共享但之前进行过连接的电脑文件夹建立成“映射磁盘”。然后将病毒程序放置在这些共享文件里。然后通过这些共享文件进行进一步的病毒扩散。

Ns-V2.exe病毒程序进行局域网共享文件扫描

勒索病毒 预防

勒索病毒目前来说无法解密,基本上只有通过病毒制作人的秘钥进行解密。切记中毒后不要随意找一些软件进行破解或解密。非专业人士操作会导致加密被破坏,更难以解密。如资料特别重要可以考虑寻求专业数据恢复公司的帮助。

重要预防流程:

  • 重要文件备份
    (数据保存三份,用两种介质,其中一份放在异地)
  • 电脑安装杀毒或防护软件
  • 局域网使用文件共享尽量用密码共享的方式进行共享,且要对共享的文件进行权限控制
    (如只配置特定用户的读取权限)
  • 系统或软件有更新尽量进行更新,特别是针对安全的相关补丁
     

上海烽燃数据科技
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
我的单片机成长之路
一名热爱技术的工程师的博客。分享技术干货,记录美好生活。永远相信美好的事情即将发生。
12-22 2369
谁给你的勇气?
phobos软件
03-05
检测SSR微卫星的工具软件,能够自主选择输出文件的内容格式
记一次中Phobos家族Devos勒索病毒
chenkewen2007的博客
12-15 6754
Devos后缀勒索病毒介绍 Devos勒索病毒隶属于Phobos勒索病毒家族的一种。 文件特征:** {原文件名}.ID-<8字符>.<Email>.后缀Phobos:变种:.Devos .Eking . Harma .makop 等等** 一般为邮箱 加 随机字符 加 后缀 Devos勒索病毒是一种文件加密勒索软件感染,它通过使用扩展名“ .devos”加密文件来限制对数据(文档,图像,视频)的访问。然后,它试图通过要求以比特币加密货币形式的“赎金”来勒索受害者的钱
关于devos勒索病毒
w654185429的博客
09-08 4376
防范 关闭3389端口 修改弱命令 警惕暴力破解的行为 解密 1.暂无免费解密方式,SQL数据库可以尝试靠mdf和ldf去掉数据头来分析还原数据库
QCC3040---message_.h文件
Andy的博客
12-17 274
QCC3040---message_.h文件 1、文件路径 os\src\fw\src\gen\customer\core\trap_api\message_.h 2、文件内容 Message identifier type. typedef uint16 MessageId; Message delay type. typedef uint32 Delay; Message type. typedef const void *M...
记录一次勒索病毒漏洞扫描发现过程
weixin_34092370的博客
05-14 459
2017年5月,勒索病毒爆发,主要是通过windows主机相应的漏洞进行感染记录当时使用防火墙日志软件搜寻存在漏洞和疑似中毒的过程公网地址已经作废 某单位业务系统漏洞分析报告中青在线5月13日电(中国青年报·中青在线记者潘圆)针对5月12日开始在全球爆发的Wannacry(永恒之蓝)勒索蠕虫***,今天国家网络与信息安全信息通报中心发布紧急通报。通报称,“我国部分Windows系列操作系统用户...
编码中的21种代码坏味道
07-19
熟悉面向对象技术的人,常常觉得对象程序中只有无穷无尽的 delegation(委托),根本没有进行任何计算。和此类程序共同生活数年之后,你才会知道,这些小小函数有多大价值。「间接层」所能带来的全部利益 - 解释...
数据库设计坏味道
weixin_52405713的博客
09-23 159
数据库设计坏味道: 之前讨论了代码中的坏味道,这个很多人讲过,也比较常见。本文讨论的是数据库设计中的坏味道。 很多人会忽略数据库设计中的坏味道,而实际上我个人经验而言,不好的数据库结构,会造成灾难性的后果,比不合理的代码的危害程度高很多。因为在业务运行以后,数据库的修改成本非常高,会出现修修补补的情况,以至于屎山越堆越高。 常见的数据库味道: 大宽表 开玩笑讲,如果可以,我能用一张表搞定一个业务,当然是不行的。但有时候也不需要完全按三范式拆分得特别零散,那怎样判断呢?我个人的经验是:如果模型A与模型B是
识别代码中的坏味道(三)
PageThinker
05-19 405
前两篇文章 《识别代码中的坏味道(一)》 和 《识别代码中的坏味道(二)》 中已经介绍了 18 个代码坏味道。《重构》中还涉及到另外 4 个代码坏味道,本文将将详细介绍剩余的 4 个代码坏味道。 这四个代码坏味道是: 中间人(Middle Man) 狎昵关系 不完美的库类 被拒绝的遗赠 01 中间人(Middle Man) 在上一篇文章中 《识别代码中的坏味道(二)》 中在“过度耦合的消息链”这种代码坏味道曾经提及过中间人(Middle Man)这种代码坏味道,那么中间人到底是一类什么代码呢? 中间人
代码的坏味道
q351477的博客
09-16 1121
Duplicated Code(重复的代码) 坏味道行列中首当其冲的就是Duplicated Code。如果你在一个以上的地点看到相同的程序结构,那么可以肯定:设法将它们合而为一,程序会变得更好。 最单纯的Duplicated Code就是“同一个类的两个函数含有相同的表达式”。这时候你需要做的就是采用Extract Method提炼出重复的代码,然后让这两个地点都调用被提炼出来的那一段代码。 另一种常见的情况就是“两个互为兄弟的子类内含相同的表达式”。要避免这种情况,只需对两个类都是用Extract Me
windows勒索病毒专杀工具:一键修复 彻底查杀
05-22
从 5 月 12 日爆发至今,名为WannaCry的勒索病毒让全球数十万Windows计算机中招,黑客将用户计算机中的重要文件实施加密,并索要赎金解锁。这种情况如果发生在企业服务器当中,那么将带来严重损失。 对此,阿里云安全团队经过不懈努力研究,终于找到解救被WannaCry病毒劫持的计算机的办法。 5 月 20 日,阿里云安全团队向云上、云下服务器用户开放勒索病毒“一键解密和修复”工具。 经过实际测试,如果被勒索后未重启操作系统,该工具可以恢复已被WannaCry勒索病毒加密的文件。 阿里云建议,在勒索病毒“中招后”,不要马上关闭、重启操作系统,也不要去手工查杀病毒,直接使用该修复工具尝试恢复数据。 一、适用范围 该工具适用于云上、云下Windows服务器操作系统用户。 操作系统版本包括:Windows Server 2003、Windows Server 2008。 二、工作原理及研究基础 本次发布的修复工具基于wannakiwi项目的研究成果:既通过搜索内存中的数据,获取解密的关键素数来进行数据解密。 阿里云安全团队在此研究基础上,进行调试和封装,让工具简单易用。 详细介绍:http://www.sudujun.com/html/201705/1090.html
记一次Windows勒索病毒应急响应实战
Canterlot的博客
09-04 4748
本文记录了一次详细的Windows应急响应流程,包含了各个排查项目,建议对照《Windows应急响应基础》阅读
威胁聚焦:Phobos勒索软件名不虚传
huihui8703的博客
03-14 986
什么是Phobos勒索病毒? Phobos是一种勒索软件类型的恶意程序,与该类型的大多数程序一样,它可以对存储的数据/锁文件进行加密,并将其保持在此状态,直到勒索赎金为止。Phobos通过添加“ .phobos”扩展名以及受害者的唯一ID和电子邮件地址来重命名所有加密文件。例如,“ 1.jpg”可能重命名为文件名,例如“ 1.jpg.ID-44447777”。[ email@email.com ] .phobos”或“1.jpg.ID-44447777。[ email@email.com ] .phobos
用友与鬼影病毒
似水无痕
06-16 839
昨天一客户打电话,说软件无法登陆。上门查看现象如下:用友服务无法启动,双击启动,报错:本地计算机上的用友通服务启动后又停止了。一些服务自动停止,如果它们没有什么可做的,例如性能和日志警报服务。(真TMD经典的报错!)顺手看了一下uf2000.log,其中写着:得到连接串时不能创建ADO连接对象,可能是ADO安装不正确客户电脑环境:OS:WinXP SP2数据库:SQL 2000SP4 个人版软件:
处理eking.Devos勒索病毒防范解密恢复操作攻略
m0_71861838的博客
08-08 2623
eking.Devos勒索病毒防范解密恢复操作攻略;什么是勒索病毒?怎么感染的病毒?怎么防范?怎么恢复中毒文件?
恢复后缀phobos勒索病毒 解密成功 百分百恢复sql文件
weixin_34405557的博客
03-03 967
phobos后缀勒索病毒已经在网络上肆虐已久,最近发现又出现了加强版本,请大家注意增强防御,防患于未然。南京一物流公司中了后缀是phobos的勒索病毒,公司内两台服务器全部中招,导致所有数据调用不出来,客户信息被锁,极大的妨碍工作的进行,造成严重损失。找到我们后,两天内全部恢复,百分百解密成功。为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1、不要打开陌生人或来历不明的邮件,防止...
新型勒索软件Phobos利用弱安全性攻击目标
mozhe_的博客
01-23 2278
一个多产活跃的网络犯罪团伙在发动一系列勒索软件攻击的同时,传播了一种可以加密文件的新型恶意软件,这种软件结合了两种知名的破坏性强的变体,与勒索攻击一起被传向全世界发挥作用。 新型恶意软件被其创建者称为Phobos,它于12月首次出现,CoveWare的研究人员详细介绍了它与Dharma勒索软件的相似之处。 与Dharma一样,Phobos利用开放或安全性较差的RDP端口潜入网络内部并执行勒索攻...
准备交赎金?当心Phobos勒索病毒二次加密!
systemino的博客
05-23 612
背景概述 近日,深信服安全团队接到多家企业反馈,服务器遭到勒索病毒攻击,重要数据被加密。经安全团队专家排查,该病毒是近期较为活跃的一款勒索病毒,通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].phobos,相关的邮箱地址有tylecotebenji@aol.co...
2019勒索病毒专杀工具合集,常见勒索病毒解密工具合集下载地址分享【持续更新】
热门推荐
tyu1853的博客
05-10 1万+
从互联网上收集了一些勒索病毒的专杀工具和解密工具分享给大家,希望对中了勒索病毒朋友有帮助。 专杀工具:勒索病毒专杀工具合集下载地址 专杀工具包含: 1)卡巴斯基反病毒实用工具(含勒索解密以及病毒查杀) 2)FBI敲诈专杀工具 3)勒索软件专杀工具 解密工具:勒索病毒解密工具合集下载地址 解密工具包括: 1)Allcry解密工具 2)Aurora勒索病毒专用解密工具 3)Bcry...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

上海烽燃数据科技

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值