专业的数据安全产品及解决方案提供商
安华金和瓦解“.YOUR_LAST_CHANCE”勒索病毒攻击
作者:安华金和 发布时间:2019-09-24

一、认清事实 · 勿抱幻想

说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件……

今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此给予友情提醒:相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。其中,企业成为勒索病毒最为热衷的攻击对象——在全球十大流行勒索病毒家族中,有九个都涉及企业攻击。

仅2019年上半年,GlobeImposter、Scaletto、GrandCrab、Gorgon、Satan等一系列新面孔和升级、变种后的老对手先后登场,不断运用各种“加密数据”的方式刷新存在感,背后目的则大多只有一个——赎金。勒索病毒攻击能够屡屡得手,究其根源是利用了受害用户对“丢失数据”的深深恐惧而寄希望于通过支付赎金“恢复数据”的想法。

1 副本.jpg

然而,过往的经验以及残酷的事实不断证明着,即便交了赎金也很可能拿不回数据——因为大多数攻击者为了减少攻击时间,从一开始便会直接将原始数据删除;即便原始数据未被删除,也可能受攻击者“低质量”的加密程序影响,使得数据在解密后也无法复原和使用。唯一能够肯定的是,交赎金会助长不法分子的嚣张气焰,以致勒索病毒攻击变本加厉、愈演愈烈。

二、专业团队 · 技高一筹

不久前,安华金和接到客户急电,对方表示公司OA系统突发故障、无法正常运行,数据库也无法打开,疑似感染勒索病毒;同时,希望安华金和能够提供人员、技术支持,尽快解决问题,以降低此次安全事件对其业务系统的影响,避免造成进一步损失。

安华金和在接到客户需求后的第一时间,安排数据安全专家在经过授权许可后远程接入客户网络。经过问题排查,安华金和发现在用户使用的SQL Server2008R2数据库服务器上含有如下图中的提示信息,大意为:你的工作和私人文件已被加密,不要尝试自己恢复数据,那会让你的数据被毁掉!只有(向我们)购买特殊的密钥才能够解密...

2 副本.jpg

检查数据库文件后发现确如“警告”所言——文件后缀已被修改为“.YOUR_LAST_CHANCE”(你最后的机会)。

3 副本.jpg

根据病毒特征,安华金和判定用户感染了文件型勒索病毒firex3m的变种,属于操作系统层勒索病毒,其最大特征就是受感染文件在被恶意加密后,文件后缀会变为“.YOUR_LAST_CHANCE”。通常情况下,该病毒会在操作系统层对主机中的各类数据文件进行加密,使用户无法正常访问数据,继而实施敲诈勒索。

确认敌情后,安华金和凭借丰富的数据安全经验以及对勒索病毒的深入研究,结合客户实际情况,迅速制定了应对策略:

1、对受攻击主机做物理隔离,防止勒索病毒扩散;

2、对其它业务机器杀毒,防止勒索病毒隐匿其中;

3、征得同意后提取小部分样本数据用于病毒分析;

4、分析勒索病毒的攻击方式和加密方法;

5、根据分析结果制定解密程序;

6、在实验环境下验证解密效果;

7、客户认可解密效果后,开始正式解密数据。

通过上述方法,安华金和成功帮助用户完全恢复了被勒索病毒加密的数据,使其业务系统再次正常运行,从而粉碎了不法分子利用勒索病毒攻击谋取不义之财的卑鄙企图,也用实力和结果证明——面对勒索病毒攻击,用户还有其他选择和机会!

4 副本.jpg

(解密后数据已做遮蔽处理)

三、实用建议 · 防微杜渐

想要有效防范勒索病毒攻击,应加强对业务系统的日常安全防护工作,不断提高自身抵御风险的能力,基本流程与建议如下:

1、及时更新软件补丁

无论是操作系统、数据库还是前端应用,软件厂商都会定期发布更新补丁,从而修复已知的软件漏洞。因此,及时进行软件升级是保证数据安全的基本手段。

2、避免使用破解软件

破解软件、绿色软件虽然“方便好用”,却也可能携带安全风险——部分勒索病毒就是通过破解软件进行传播的。为了保证数据安全,应尽量避免使用此类软件。

3、请勿点击陌生邮件

勒索病毒常见的传播途径包括利用电子邮件、网页挂马等方式。因此,面对陌生邮件、陌生网址时,如果不能确定其安全性,请勿随意点击。

4、建议关闭无用端口

诸如135、137、138、139、445等端口常被勒索病毒利用,以发起对业务系统的攻击;酌情将此类端口关闭,可减少业务系统潜在的安全隐患。

5、制定安全应急预案

事先制定详细、具体的应急安全预案,作为处理数据安全问题的操作指南,用以在勒索病毒攻击发生时迅速采取应对措施。

6、定期数据安全演练

制定应急安全预案后,还需定期进行演练,持续加强相关人员的数据安全意识并提升应对能力,从而更好的保障业务系统安全。

7、联系数据安全专家

发现勒索病毒攻击后切勿慌乱,请及时联系安华金和,我们将提供数据安全专业服务,协助客户解密数据库文件,共同解决相关安全问题。

5 副本.jpg

向勒索病毒攻击低头绝不是最后的机会,请做正确选择!成立十年来,安华金和始终专注数据安全领域,致力为广大用户提供专业、高效、可靠的数据安全产品和服务。随着勒索病毒攻击日益猖獗,安华金和将全力协助客户构建多层次、立体化的数据安全防护体系,避免用户遭受数据资产及相关经济损失,让数据使用更安全。

分享到