最近我司发现了一种新型勒索病毒和之前流行过的一种勒索病毒有着很相似的后缀名,后缀名是._locked,但经过我们工程师的研究分析,它们之间的算法不一样,黑客组织也不是同一个,这种勒索病毒主要针对的是企业,政府机构,医疗机构 等数据很重要的目标,但不代表个人用户不会遭受勒索病毒攻击,俗话说蚊子再小也是肉,所以加强互联网安全意识是非常有必要的,对于没有中过毒的企业我们要防患于未然,但是如果已经遭到勒索病毒应该怎么办呢?接一下来我们介绍一下这款新型勒索病毒.locked
其次当你进入到了桌面后会发现所有的文件图标的被篡改了,并且无法正常打开,再仔细看看文件属性,你会发现后缀名多了一段._locked,例如你的sql server数据库文件后缀本来是.mdf,但它现在变成了.mdf._locked,并且每个文件夹下还有一个how_to_decrypt的html文件,下图为中毒后文件夹的情况:
同时现在又出现了一种新型.locked尾缀病毒
文件大小都为1kb但是通过T+远程去看源文件里面的内容都在,但是电脑中却打不开。
解决方案
当企业工作人员发现公司服务器感染了勒索病毒的正确的操作(按顺序操作):1.先断网而不是先关机,防止病毒扩散。2.备份中毒后的数据,而不是杀毒。3.确定勒索病毒的家族然后尝试找解密程序(勒索病毒的种类可以通过病毒留下的勒索信息、加密的文件后缀等信息来判断,可以找专业人员通过病毒样本来判断病毒种类)4.寻找专业第三方的技术支持。5.找准中毒原因,并加强防御,避免二次中毒6.格式化中毒机器并重装系统
目前来说就两种:
整机解密:找黑客购买钥匙,请谨慎选择,有风险
数据库等重要文件恢复:由于黑客对大文件的加密存在漏洞,所以我们可以通过技术手段将数据恢复完整,如果仅需要你的重要数据不妨尝试这种方案。
怎么能没有案例
2022年8月30日,我们接到了电话,求助者称自己中了._locked勒索病毒,sql sever数据库被加密,当时我们以为是之前的locked勒索病毒,因为我们对这种勒索病毒有这丰富的经验,所以我们很自信的说可以解决,但当看到样本文件的时候,我们才发现事情不是那么简单,这是一种新型的勒索病毒,我们也是第一次见到,当时还处于假期中,所以我们安排了一个加班,研究这种勒索病毒的解决方案,好在经过工程师的努力,我们成功将求助者的数据恢复出来。
完整度:100%
耗时:24小时
防护
1:重要数据及时备份
2:定时对自己的局域网进行漏洞扫描,安全检测,修补漏洞
3: 不要一码通杀,所有服务器都采用一样的登录账号和密码是相当危险的
4:远程桌面端口非必要不要打开,如果外部厂商需要协助可采用其他远程方式
5:核心数据可安装防勒索病毒系统