自2017年至今,本人从事勒索病毒解密及数据库修复工作,近期在网上看了些关于中毒后该怎么做的贴子,说 法很多,以本人多年的从业经验来看,这些贴子说得不是太全面,有些操作甚至会对数据彻底的破坏。下面结合本人多年从业经验来谈谈中了勒索病毒后,应该怎么来对服务器进行应急处理,保证数据安全及为后续的解密工作尽可能多的留下线索。1, 立即断网
断网的目的是防止网络中其它的服务器或者主机被感染。
2, 检查服务器上文件被加密的情况
检查服务器上文件是否已经被完全加密,并通过查看修改时间判断病毒加密的开始时间。禁止在服务器中毒后进行重装系统,杀毒,重启系统及断电等操作。重装系统一是不要重启机器,二是不要覆盖系统分区,这两项都会导致对数据进行解密失败,因为很多密钥可能存于内存或是缓存文件中,这些操作会使密钥丢失或者被覆盖,增大数据无法解密的风险。
3, 备份重要数据
完成前两项工作后接下来要对重要数据(如数据库,重要文档等)进行备份,没错,就是对中毒后的文件进行备份,这么做的原因有二:
一, 对数据进行的操作如修库、解密等都不能在服务器上进行,这么做的目的是万一修库,解密一旦失败,数据没有备份,所有操作不能回退,意味着数据永久丢失。
二, 在以往的案例中,有过被二次加密的情况发生,某企业在服务器中毒后,联系了我们并发送样本文件供我们测试,但由于疏忽没有对服务器断网及数据备份,在第二天早上上班后发现所有被加密的文件的后缀名又变了。后经我们检测,发现是又被另一病毒加密了一遍,如果在服务器中毒后有对中毒文件进行备份,服务器上的文件即使被加密多次,也不会造成更大的损失。
4, 关于杀毒软件
服务器中毒后,是否要对服务器进行杀毒?病毒在对文件进行加密前,会先将杀毒软件关闭再对文件进行加密,如果这时进行杀毒,会把被感染的文件删除,如果是重要文件,虽然也可以通过专用设备找回被删除文件,但对于以十万百万计的文件数量,你能确定哪些文件被删除了?正确的做法是,不运行杀毒软件,而是立即对数据进行备份。还要明确的一点是,杀毒软件不能对文件进行解密,号称能解密的也只是将***已公开的密钥集成进软件内而已,对于最新的变种,杀毒软件是无能为力的,甚至连病毒属于哪个家族都无法检测出。
5, 关于服务器是否断电及关机
中毒后对服务器断电及关机,初衷是为了避免病毒加密更多的文件,减少损失,同时也面临一个问题,如果此时正在被加密的文件是一个大型数据库文件(概率极大,数据库文件大,加密时间相应要久),将造成文件未被加密完,未被加密完的文件,只能说神仙来了也没法解开,所以不管是病毒在加密中还是已经加密完,都不要对服务器断电。
6, 解密及恢复数据
不要试图和***联系,支付赎金解密数据,原因是首先这是违法的,其次,***存在撕票的情况,我们已经碰到过用户付钱后,仍然无法解密数据的案例。现在能解密数据的方法有两种:
一是修数据库, 这种修复完后 数据库可以附加,但一定会缺失东西,例如ERP的存储过程,或者丢掉表数据。 这种方式我们修复过很多,价格便宜 但后续需要ERP的维护商进行大量后续的工作。 时间长,麻烦多。如果是小文件,这种方法无效。
二是完整解密, 这种方式修复出来的文件可以直接使用,跟原来一模一样,只要重新部署应用环境,就可以投入使用。这种方式收费会更贵,但时间短,效果也是最好的。
现在勒索病毒的加密方式也在不断的升级,修库的难度是越来越大,修出来数据完整度不高,不能正常使用,
往往要结合两种方法,才能完整的还原数据。
希望这些能给您带来帮助,本人可以提供一些技术支持,如有需要,可以与我联系。