一、近期影响最大的病毒类型
1、GlobeImposter 3.0最新变种
病毒特征后缀:
hades666 Artemis666 Aphrodite666 Persephone666 等各种666后缀,沿袭了十二生肖4444后缀的特征,对数据安全是一大危害!
2、Sodinokibi 病毒
信息文件:
xxx-readme.txt xxx-HOW-TO-DECRYPT.txt
网站:decryptor.top
沿袭了GandCrab病毒,目前波及面积比较广。
3、Globelmposterb 5.0
病毒特征后缀:
.{[email protected]}KBK .{[email protected]}VC diller13 等
4、phobos变种
病毒后缀病毒特征后缀:
.[[email protected]].actin .[[email protected]].acton .[[email protected]].actin .[[email protected]].actin
.[[email protected]].acute
.[[email protected]].phoenix .[[email protected]].phoenix
.[[email protected]].adage
.[[email protected]].BORISHORSE
[[email protected]].Acton 等
5、Nemesis病毒
特征后缀:
YOUR_LAST_CHANCE WECANHELP 等
6、CrySisV1病毒
特征后缀:
[[email protected]].harma .[[email protected]].harma 等
7、sypree病毒
特征后缀:
.sypree
二、数据恢复方案
目前支持的数据恢复方案,只有两种:数据库修复和文件解密
1、数据库修复——这种方案仅限于恢复数据库文件。由于数据库文件具备独特的数据结构特征,文件内部包含大量的校正数据和容错数据,有效的业务数据通常在数据库文件中占比很小,病毒在对数据库文件加密的时候,考虑到文件大小及加密的时间,通常会对文件进行间断性“点状”加密,而不是整体全部加密,所以可以根据对未被破坏的业务数据进行提取,同时参考校验数据和容错数据对已被破坏的业务数据进行恢复。
目前就病毒的发展趋势来看,很多病毒逐渐对数据库文件进行了“全加密”,这样这种修复数据库的方案就不可行!
缺点:可能存在数据丢失,恢复过程麻烦。
2、文件解密——病毒的加密都是采用公钥算法结合对称密钥算法,理论上是无法解密的,但是病毒程序可能存在编程或设计逻辑方面的漏洞,或者病毒的密钥服务器发生密钥泄漏等原因,这样很多病毒类型是可以被解密。一般能被解密的病毒都可以通过公开的网站查询。
如果病毒没有被破解,而且你的数据非常重要,也只能需要承担很大的风险去交付高昂的赎金购买密钥。记住一点:如果已经被安全公司攻破解密的病毒,一定是免费解密的!不要相信个人“小作坊”能解密的谎言,要么是骗子,要么是替你缴纳赎金。
这种方式风险很大,可能即使缴纳赎金也不一定能拿到解密密钥。同时即使拥有密钥也无法保证解密,因为病毒也是一种程序,也可能出现执行异常,如果在加密某个文件时出现异常,那当前文件即使拥有密钥也无法解密成功,所以存在解密失败率。
三、数据安全防御
服务器和个人的安全防御建议针对服务器的病毒破坏依然是当下病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对病毒的威胁,在此我们给各位管理员一些建议:1、多台机器,不要使用相同的账号和口令 2、登录口令要有足够的长度和复杂性,并定期更换登录口令 3、重要资料的共享文件夹应设置访问权限控制,并进行定期备份 4、定期检测系统和软件中的安全漏洞,及时打上补丁。5、定期到服务器检查是否存在异常。查看范围包括:a) 是否有新增账户b) Guest是否被启用c) Windows系统日志是否存在异常d) 杀毒软件是否存在异常拦截情况。
而对于本月又重新崛起的这对个人电脑发起破坏的病毒,建议广大用户:1、安装安全防护软件,并确保其正常运行。2、从正规渠道下载安装软件。3、对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。