恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案

最新推荐文章于 2024-06-11 10:19:00 发布
最新推荐文章于 2024-06-11 10:19:00 发布
阅读量2.6w 收藏 2
点赞数 1
文章标签: 永恒之蓝解决方案 勒索病毒 have been encrypted 加密病毒 WannaCry解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjp20042005/article/details/71841853
版权

以下内容包含普通电脑解决方案、云服务器解决方案、以及预防方法、文件日常免费自动备份方案

    半夜被运维值班人员的紧急电话惊醒,阿里云ECS服务器业务停止了,迷迷糊糊打开手机远程桌面,无法连接。无奈打开电脑,通过阿里云在线控制面板远程进入服务器,本以为是DDOS攻击或者死机。一个红色大框映入眼帘,瞬间毫无睡意。


       第一反应是,被黑客入侵了?一身冷汗,开着安全狗,改了远程桌面端口号,还设置了远程桌面访问白名单,怎么还会被黑,而且好像还是进了服务器。因为,业务系统文件有本地备份,第一反应就是感觉备份出数据库,然后重装系统,但是所有的文件都不能复制,很多程序都无法运行。因为之前遇到过类似的office加密病毒,它是不可逆算法,因此几乎没有破解的可能性,仔细一看病毒说明是加密所有文件,还有倒计时删除,心想完蛋了,一看赎金300美元,还好赎金不是太离谱最不济1800元买个教训。但技术控的好奇心不是钱的问题,先用阿里云快照备份磁盘。然后开始了尝试恢复,先给阿里云半夜打了客服电话(给马云赞一个),客服说之前有遇到过,无解,给发了个防护措施的邮件。不甘心,脑子蹦出的第一想法是尝试用干净的系统挂载中毒磁盘,复制出数据库。先不卖关子,直接告诉大家结果,经测试发现,该病毒貌似不会加密所有的文件,但是在中毒的系统下是没法复制移动文件的,因此将中毒盘挂载到纯净系统下,能拷贝出文件,有很大的概率能挽回文件并且没被加密。


普通电脑恢复方法:

将中毒的硬盘,挂载(安装到另外没中毒的电脑上)到纯净电脑上(一定不要用重要的电脑!!!避免二次中毒二次损失),在BIOS里将中毒盘设置成从盘(避免当引导磁盘二次中毒),开机后点击右键选择“打开”(切记不要双击打开磁盘和文件夹,避免二次中毒,区别在于右键菜单打开不会执行脚本),将数据拷贝到干净的硬盘上,关机拔掉中毒硬盘,再开机进行文件测试和备份工作。如果还不明白,找个明白人看看本文,或者具体步骤关注凌睿软件微信公众号wjp20052006,真人在线问答


普通电脑:


百度云盘有自动备份功能,你造吗?详情见


http://jingyan.baidu.com/article/9f63fb91d24bb6c8400f0ea7.html



阿里云ecs的恢复具体步骤:

1、关机对要恢复的磁盘进行快照


2、创建新的ecs实例,如果仅是想恢复文件,可以选择按时付费模式,恢复完删除即可。重点是在创建实例增加数据盘时,点击用快照创建磁盘,选择刚才创建的快照。


3、开机运行,打开中毒盘时,尽量点击右键选择打开,这样和直接双击打开的区别在于不执行脚本,避免二次中毒,找到要备份的文件复制到干净的系统盘,复制完成后卸载病毒盘(防止二次中毒),再用百度云等云盘备份下来,即可。


防范措施:

近期爆出onion以及wallet等后缀的勒索加密事件,出现此情况通常与Windows操作系统的端口、漏洞、补丁更新不及时有关,勒索软件是一种Trojan木马,目前无法针对此类情况的解密数据,我们强烈提醒并建议您:
1.请检查服务器的账号密码,如果密码简单,请立即修改为强口令密码并定期更新密码;
2.不要将高危的服务端口开放到外网,例如:3389、445、139端口,仅开放必要的业务服务端口,如果存在此类情况,您可以配置安全组策略屏蔽高危端口;
3.如果您重新购买使用新的ECS,强烈建议做好快照,然后安装杀毒软件,例如:企业版卡巴斯基、诺顿等;
4.由于近期发生NSA事件,攻击者可能利用windows高危漏洞入侵,请确保安装好最新windows补丁(例如:MS17-010补丁 https://technet.microsoft.com/zh-cn/library/security/MS17-010),具体参见:https://help.aliyun.com/knowledge_detail/52638.html

1)Windows Update更新补丁方式

点击“开始”->“控制面板”->“Windows Update” ,点击“检查更新”

检查更新:

wu1

安装更新:

wu2

检查安装结果:

点击“查看更新历史记录”,检查安装的补丁:

wu3

重启生效

安装完成后,补丁安装状态为“挂起”,重启后生效:

wu4

最好的防范策略还是有备无患,免费实用的日常文件备份方案:


普通电脑:


百度云盘有自动备份功能,你造吗?详情见


http://jingyan.baidu.com/article/9f63fb91d24bb6c8400f0ea7.html


服务器自动备份:

文件备份:Filegee,一个可以设置策略自动备份到百度云盘和FTP的利器,具体步骤关注凌睿软件微信公众号wjp20052006


数据库定时备份:

好备份+云备份,一个可以设置策略自动备份数据库到百度云盘和FTP的利器,具体步骤关注凌睿软件微信公众号wjp20052006


sqlserver数据库实时热备份:自行百度sqlserver订阅和镜像,

更多最新安全解决方案资讯请关注凌睿软件微信公众号wjp20052006



wjp20042005
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
All your files have been encrypted
孙叫兽的博客
11-30 1万+
小弟的姑姑家的老板收银的电脑被黑客黑了,我来解决一下,小孩玩游戏玩电脑中的病毒, 方法很多种,仅供参考。 问题邮件截图: 参考方式: 方法一:给对方钱,一般比较贵,还不如重装系统。哈哈。 方法二:下载解密工具,尝试解密恢复数据, Ransomware File Decrypto Tool 下载地址:软件 方法三:使用360安全卫士自救锦囊,号称800种相似病毒已破解,一般很多都是...
拯救被勒索病毒加密文件
清风弄影
05-10 619
使用工具解密被勒索软件(REvil/Sodinokibi)加密文件,需要告知文件中的key
【工具分享】AstraLocker勒索病毒解密工具
最新发布
2401_83062893的博客
06-11 818
ReversingLabs发现了AstraLocker勒索软件的新版本,该勒索软件直接从Microsoft Office文件中分发,用作网络钓鱼攻击的诱饵。分析表明,负责此活动的威胁行为者可能从 2021 年 9 月的 Babuk 勒索软件泄漏中获得了 AstraLocker 2.0 的底层代码。这两个活动之间的链接包括共享代码和活动标记,而列出用于支付赎金的门罗币钱包地址与 Chaos Ransomware 团伙有关。
mysql nemesis后缀,YOUR FILES ARE ENCRYPTED
weixin_33614878的博客
03-17 1080
接到网络恢复请求,oracle dmp文件加密,文件名为:2020_01_10_16_00_00.DMP.id_2251820718_.WECANHELP,_RESTORE FILES_.txt文件内容为:*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***To decrypt your files you need to bu...
mysql 数据库遭遇 Loki 加密勒索病毒数据恢复
Lixora's DB Home
07-11 2401
mysql 勒索病毒loki 加密数据恢复
【小5聊】记录一次Win7系统开启3389外网的情况下,被勒索病毒加密所有文件
小5聊的博客
11-12 4971
使用了网上下载的内网映射以及3389端口映射,由于防范意识不高,以及远程账号密码设置太简单和对3389端口映射到外网的高漏洞了解不深,导致勒索病毒有机可趁 由于主服务器加了多重防范,禁止3389远程以及复杂的主账号密码,仅仅只加密了三个文件,这个没找到为什么,有可能是没来得及加密,就断开了网络!有知道原因的小伙伴可聊下 1、所有网络出现异常 1)早上11点多,整个网络开始出现异常,上网缓慢,甚至直接上不了,部分电脑微信可以接收到信息,也是很慢 2)刚开始排查以为是电信宽带问题,找了电信维修..
永恒之蓝(ms17-010)简介与复现
weixin_52685785的博客
01-15 2776
一、永恒之蓝的介绍 ;二、漏洞描述 ;三、MSF介绍 ;四、漏洞复现
Ooops
03-13
【标题】"Ooops"可能是指在编程过程中遇到的意外情况或者错误,通常与异常处理有关。在C#编程语言中,"OOPS"(Object-Oriented Programming System,面向对象编程系统)是核心概念之一,它涉及类、对象、继承、封装...
worm.ooops.rar_Windows编程_Delphi_
08-10
【标题】"worm.ooops.rar" 涉及的是一个使用 Delphi 编程语言编写的蠕虫病毒源代码,这个压缩包很可能是为了研究和教育目的分享的。Delphi 是一种基于 Pascal 语言的集成开发环境(IDE),常用于创建高性能的 ...
JS-File-Uploader:带有进度更新的 XMLHttpRequest 文件上传脚本
07-12
JS-文件上传器 ...'Ooops! Something went wrong: ' + e.message); } uploader.onProgress = function(bytesUploaded, bytesTotal) { // Update progress bar $('#myProgressBar').css('width', ((co
局域网攻击软件Ettercap中文说明.pdf
11-26
9. 脱机监听:Ettercap可以使用脱机监听参数(-T、--readpcapfile)来检查一个pcap兼容文件,而不是在网络上取包。 10. 包记录:Ettercap可以使用参数(-Y、--writepcapfile)把包记录到一个pcap文件中。 11. ...
防止勒索病毒操作日志
05-24
记录一次内网检查勒索病毒的整个过程,比较详细了,各
The.Witcher.S01.WorldSubtitle_C#_TheNeed_
09-30
很抱歉,但根据您给出的信息,标题"The.Witcher.S01.WorldSubtitle_C#_TheNeed_"和描述"Ooops active nnobz i need"似乎与IT知识无关,它们更像是与某个视频字幕组或者电视剧《巫师》(The Witcher)第一季的字幕...
记一次‘勒索病毒’经历
weixin_43945453的博客
04-22 4248
当一粒云遭遇勒索病毒 疫情当下新冠病毒还没走远,躲过了疫情,熬过了隔离期 某天当你打开电脑屏幕亮起一个全屏大框,标准的上锁图标,粗黑的 "all your files have been encrypted" 脑子里第一反应什么鬼玩意?勒索病毒!顿时就卧槽了! 真实经历,4月19日,周末,惬意的我像往常一样又收到客户需要技术支持的信息,一骨碌爬到电脑旁运行“mstsc”连接我的工作电脑...
【91数据恢复】服务器感染了.halo勒索病毒,如何确保数据100%恢复
weixin_13318844580的博客
03-29 1675
在2023年初,一种新的勒索病毒开始在网络上传播,它的名字叫做.halo勒索病毒。这种病毒属于BeijngCrypt勒索病毒家族,它会通过远程桌面爆破、数据库端口攻击、垃圾邮件等方式入侵目标设备,然后加密设备上的文件,并在文件名后添加.halo扩展名。如果您不幸感染了这种病毒,您应该如何应对呢?数据还有没有可能恢复呢?本文将为您介绍一些相关的知识和建议。如果不幸感染了这个勒索病毒,您可添加我们的数据恢复服务号(sjhf91)免费咨询获取数据恢复的相关帮助。
oracle中毒,oracle数据库中毒恢复 oracle数据库解密恢复 服务器中勒索病毒解密恢复.Hermes666...
weixin_29248313的博客
04-14 380
oracle数据库中毒恢复 oracle数据库解密恢复 服务器中勒索病毒解密恢复.Hermes666客户名称 保密数据类型 oracle 11G数据容量 100 gb故障类型 服务器中毒,文件加密。数据库被加密损坏添加了.Hermes666扩展名。留下文档内容为YOUR FILES ARE ENCRYPTED !!!TO DECRYPT, FOLLOW THE INSTRUCTIONS:To r...
病毒分析】DevicData勒索病毒分析
2401_83062893的博客
04-11 890
近期,Solar团队收到某医疗单位的援助请求,该公司的计算机受到了某勒索病毒的侵害,所有的文件加密并且添加了.DevicData-P-470b1abd后缀,我司人员现场取证进行排查并提取加密器,本文是对于加密器的分析。
为什么您的数据最有可能被盗以及您可以如何处理
编程故事的地方
10-28 200
我曾经认为自己对网络世界非常了解,但是后来我开始学习网络安全,并阅读Shape Security,IBM和Snyk等公司的报告。 我不可能错了。 只是在我出生之前就发生了。 1983年,罗纳德·里根(Ronald Reagan)观看了电影《 战争游戏》 并建议制定一项法律,以防止未经授权的计算机访问。 1984年,有关网络安全的第一部法律得以实施 。 (注意:我将在文章结尾添加引用️)...
记一次电脑勒索病毒
Xinghf
11-02 3140
做梦都想不到自己的电脑会被病毒攻击了,而且是勒索病毒。       情形       大多数文件,除了*.exe 的文件,都在原文件基础上添加了.HRM后缀,对于word和txt文件自己重新改回扩展名后打开乱码,连全部的代码文件也无一幸免,灾难了,感觉这不是真的。且在桌面上有一个html文件文件内容如下。       什么是勒索病毒?       维基百科定义:勒索软件是
编写一段适合用姿态传感器的代码
02-23
示例代码:#include <Adafruit_Sensor.h> #include <Adafruit_BNO055.h>Adafruit_BNO055 bno = Adafruit_BNO055();void setup() { if (!bno.begin()) { Serial.println("Ooops, no BNO055 detected ... Check your wiring or I2C ADDR!"); while(1); } bno.setExtCrystalUse(true); }void loop() { // 检索当前姿态传感器数据 sensors_event_t event; bno.getEvent(&event); // 以度为单位输出角度 Serial.print("X: "); Serial.print(event.orientation.x, 4); Serial.print("\tY: "); Serial.print(event.orientation.y, 4); Serial.print("\tZ: "); Serial.print(event.orientation.z, 4); delay(100); }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值