0x00 勒索病毒背景
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的Globelmposter、GandCrab、Crysis等勒索病毒,攻击者更是将攻击的矛头对准企业服务器,并形成产业化;而且勒索病毒的质量和数量的不断攀升,已经成为政企机构面临的最大的网络威胁之一。
即使安装了杀毒软件,即使防护再强,如果企业被攻击,已经中了勒索病毒,应如何沉稳应对?
0x01 如何判断是否中了勒索病毒
文件后缀名被篡改或者办公文档、照片、视频等文件的图标变为不可打开形式。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。
下面为电脑感染勒索病毒后,几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。
0x02 勒索病毒应急处理方法
大多数企业在中了勒索病毒之后都会非常恐慌,不知怎么办,最直接的办法就是把中毒的机器进行隔离,断网处理,然后等待专业的安全服务人员上门进行处理,针对一般的勒索病毒应急处理方法,如下:
1.断网处理,防止勒索病毒内网传播感染,造成更大的损失
2.查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本
3.确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密
4.进行溯源分析,确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞
5.做好相应的安全防护工作,以防再次感染
0x03 勒索病毒解密网站
BitDefender GandCrab5.2
BitDefender发布了GandCrab最新的解密工具,下载地址:http://www.bitdefender-cn.com/downloads/gandcrab/BDGandCrabDecryptTool.exe
备用链接:
百度网盘链接:https://pan.baidu.com/s/1oUkhLR3JZQFH1r3abW79mw
提取码:jcb3
下载地址可以解密GandCrab5.2及以下版本,如下所示:
并公布了GandCrab勒索病毒的发展时间线,如下所示:
欢迎大家分享更好的思路,热切期待^^_^^ !
