• <li id="4ldke"><acronym id="4ldke"><u id="4ldke"></u></acronym></li>
    <em id="4ldke"><ruby id="4ldke"></ruby></em>

  • <rp id="4ldke"><object id="4ldke"><input id="4ldke"></input></object></rp>
  • <rp id="4ldke"><ruby id="4ldke"><u id="4ldke"></u></ruby></rp>
        1. 服務器中勒索病毒該怎么解密處理

          有天下午5點多,我們SINE安全突然接到一個客戶的電話,說他們的服務器中了一個叫“勒索病毒”的病毒,已經把中毒的服務器關了,監管部門也來了,可是他們自己的IT團隊處理不了,客戶感覺這個事非常緊急,可能會影響了整個業務的運行??墒?,這個客戶并沒有跟我們SINE安全簽約過。但是,這個事件非常緊急,我們考慮到以后可能還會有合作的機會,所以決定幫忙。

          我們電話里詢問客戶,了解到有兩個緊急問題需要解決:

          640.jpg

          1.客戶需要知道其他服務器是否也受到影響,如何處理中毒的服務器,同時盡快恢復業務正常運行。

          2.監管部門需要我們找到相鄰的IP,大致時間和勒索病毒觸發方式等相關的信息。

          因此,我們SINE安全制定了以下的緊急方案:

          A. 客戶位于即墨,我們需要從市里趕往即墨,大約路程1個多小時,在路上我們SINE安全聯系了監管部門,安排一位懂得核心交換機配置的技術人員到現場協助,對內網的流量鏡像進行詳細的數據安全分析。同時我們借給了他們一臺流量監控設備,這個時候是非常有用的,可以看出到底那臺服務器在傳播這個勒索病毒。

          B. 我們要求客戶拍下勒索病毒的文件名和后綴,并發送一個加密的樣本。根據勒索病毒的后綴等特征,我們SINE安全去查詢公開的勒索病毒庫,看看是否能夠直接解密。通過這樣的應急方案,我們能夠幫助客戶盡快的恢復業務正常,同時向監管部門提供必要的信息,讓他們更好地了解這個病毒的情況。

          接下來就要實干了!

          咱SINE安全要去客戶現場處理勒索病毒,得準備干啥呢?

          一,要有人到被感染的服務器上看看,有沒有留下日志啥的,能不能追蹤到病毒從哪兒來,還有沒有其他服務器也被感染了。

          二,還要插一個流量監控設備,看看網絡里有沒有勒索病毒在內網里亂搞,亂爬.

          要處理感染的服務器,咱們得走這兩步:

          a) 得看看這服務器上還有沒有勒索病毒在作怪。

          怎么看呢?得先建幾個文件,比如exe、docx、pptx格式的空文件,再新建個文本文件,改個后綴也行。然后看看服務器的CPU占用率高不高,再看看新建的文件有沒有被加密。如果占用率很低,而新建的文件也沒被加密,那基本可以判斷勒索病毒已經跑了或者已經自己刪除了。

          b) 再得用咱們的U盤代入工具來查看一下。

          要是擔心U盤也被勒索病毒加密了,那就把需要的軟件壓縮成ISO格式,設置成只讀模式后再插到客戶端。

          c) 最后得查看一下進程和日志。

          一般情況下,日志文件都在C:\Windows\System32\winevt\Logs里。但很多入侵者會刪除日志,這時咱們得了解一下還有沒有其他沒被刪除的日志。還可以用個軟件,叫Lastactivityview,可以看到近期軟件執行情況,沒日志的時候也能作為佐證哦。

          640 (1).jpg

          最后該如何防范勒索病毒?

          咱們客戶啊,這次被病毒攻擊了,咱得及時整改防止以后再出事。首先,咱得把網絡入口關掉,把核心交換機和重要路由器的 135 445 139 TCP 網絡訪問都給關掉。然后,升級系統補丁,優先處理重要的服務器。特別是那些 server 服務,得給它們全部禁用關掉啟動。接著,咱得加強運維安全。得加一個專業的VPN或者堡壘機,而且帶有溯源錄像功能。這樣,就能限制服務器只能從堡壘機進行運維,還得有手機驗證碼驗證身份。對了,咱得安裝一個終端防護軟件,比如說EDR。別用免費軟件啊,有可能漏殺病毒的。咱還得加強日常安全運維管理。經常掃描漏洞,及時更新補丁。如果是微軟已經不維護的系統,咱得升級換成新的。還得加強內網管控和安全區域劃分。不然,外網防御沒用啊,內網防不住攻擊怎么辦。最后,還得加強技術人員安全意識的培訓。這樣,咱們才能更好地保護客戶的信息安全,避免再次出現被攻擊的情況。

          分享:
          在线观看欧美精品午夜,欧美精品A视频,国内精品性爱≥偷拍A片,日韩精品丝袜在线