摘要:
最近流行的Baxia、bixi勒索病毒就是Beijing crype的新变种。该病毒疑似由国人制作,主要攻击对象为中国企业。曾经的扩展名beijing、shanghai、520、360、halo。因为先前的360和halo算法已经被成功破解,所以黑客最近对加密算法进行了大幅度更新。如果企业不幸中了此类勒索病毒可通过本文章获得一个对这个病毒的全面认识并确定恢复方案。
关键词: baxia勒索病毒,bixi勒索病毒解密,数据安全,勒索病毒防范
一、Baxia、Bixi勒索病毒的前世今生
baxia勒索病毒也有部分后缀是bixi勒索病毒,实际就是之前360和halo勒索病毒的变种。被攻击的文件扩展名会变成baxia或者bixi,勒索信名称为!_INFO.txt, 详细图如下。若与文中截图一样则说明你中病毒为baxia|bixi勒索病毒
二、baxia、bixi勒索病毒如何攻击的?
1. 感染途径:多采用软件漏洞和操作系统漏洞攻击。2023年该黑客组织掌握了国内几款医药连锁超市常用软件 *雨人、*海典等漏洞。导致大量药店连锁企业中毒。2024年该黑客组织再次掌握了某行业软件0day漏洞,自6月份开始再次活跃。
2. 加密过程:一旦感染,病毒会迅速遍历系统文件,使用流加密算法对文件进行加密。整机除windows运行的必要文件外都会被加密。其中重点攻击对象为sqlserver数据库,oracle数据库,以及备份文件。加密过程耗时较长。加密程序友bug容易出现加密文件被彻底损坏的情况。
3. 勒索通知:加密完成后,病毒会向用户展示勒索通知,要求客户通过邮箱联系,邮箱联系地址为:wuguireco@gmail.com wuguireco@cock.li
4. 赎金金额:该黑客组织勒索赎金金额较高。起步价为3000美金,黑客是根据客户数据重要性来定义价格的。在我们处理的的案例中一般数据库越大价格越高
三、baxia勒索病毒破解的可行性
1. 单纯恢复数据库方案:baxia勒索病毒、bixi勒索病毒对数据库的加密采用分段大数据块加密。 这种加密方式即使有早期未中毒的数据库备份,也只能恢复部分数据,无法做到100%完整度解密。若客户对于数据完整性要求很高则这种恢复方案不可行。被加密后数据截图如下
2. 利用黑客算法漏洞破解:前期版本的360、halo可通过技术手段破解,但新款的baxia、和bixi变更算法为在每个文件内部生成独立的解密钥匙。需要通过专用工具扫描后利用扫描的公钥key生成针对性的解密钥匙。这种方式弥补了之前的漏洞。截至发稿时尚未有任何可行的技术手段破解方案。但是我们仍然没有放弃对这种病毒的破解的研究,技术持续不断更新中。
3. 支付赎金购买解密工具方案:在采用技术破解方案恢复失败的情况下,可考虑支付赎金购买解密工具,在我们团队协助黑客处理的众多案例中未出现付款后不给解密工具的情况。但是出现过部分客户拿到解密工具后数据无法解密的情况。这个情况是由于黑客加密过程中的bug导致。建议在支付赎金前务必仔细检查数据加密的完整性。确保数据被加密完整后再进行后续操作。若需要相关技术支持可联系我们获得有偿技术支持。下图为baxia勒索病毒扫描工具扫描出的key
四、如何预防baxia勒索病毒攻击
1.不要认为买个高端防火墙或者安装杀毒软件就可以预防勒索病毒攻击。
在我们处理的众多被勒索病毒的案例中,90%的企业都有部署防火墙+杀软,并且很多都还是高端防火墙设备,但仍然会被黑客轻易攻击进来。(这并不是说防火墙无用)主要是勒索病毒攻击,大多采用的是0day漏洞,或者是软件漏洞,web端漏洞很多时候采用的是人为手工攻击,并不是采用的攻击工具攻击。这种情况防火墙和杀软是无能
2. 无论针对那种勒索病毒,苏州创展给你的最好的防御方案且免费的:没有必要映射到公网的服务器就做成局域网访问。这样相当于对黑客是物理隔离的,即使可能出现公司内部某一台员工使用的电脑被攻击了,通过跳板可以攻击内部服务器,这种概率相当小。
3.操作系统和软件尽量采用官方提供的镜像下载安装。即使更新补丁。若无相关安全技术人员,可联系我们获得有偿技术支持。
六、结语
面对越来越难破解baxia勒索病毒,并且勒索赎金越来越高,预防才是最终解决方案。其中预防的尽头时备份。在我们处理的客户案例中很多客户也在执行备份,但是错误的备份策略和方案导致一旦中勒索病毒后,备份同时失效。
564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
