.locked勒索病毒 服务器中勒索病毒解密
发布时间:2022-09-22 14:55:52 所属栏目:安全 来源:
导读: 该勒索病毒使用Go语言编写,会通过永恒之蓝漏洞传播自身,同时加密计算机中的重要文件,将文件后缀修改为.locked,之后向受害用户索要赎金,根据其加密后缀将其称为locked勒索病毒。
攻击者可以通过永恒
攻击者可以通过永恒
|
该勒索病毒使用Go语言编写,会通过永恒之蓝漏洞传播自身,同时加密计算机中的重要文件,将文件后缀修改为.locked,之后向受害用户索要赎金,根据其加密后缀将其称为locked勒索病毒。 攻击者可以通过永恒之蓝漏洞入侵企业中的一台计算机,并利用这台计算机作为跳板入侵企业内网中的其他计算机。攻击者成功入侵第一台计算机后从指定地址下载勒索病毒加载器。勒索病毒加载器会释放两个模块。一个是locked勒索病毒,另一个则是永恒之蓝传播模块。永恒之蓝传播模块会将当前计算机作为FTP服务器,入侵内网其他计算机后通过FTP下载locked勒索病毒运行。永恒之蓝传播模块是由python语言编写并打包成exe文件。在加密文件之前,locked勒索病毒会结束系统中运行的数据库相关的进程以确保勒索病毒能成功修改文件内容。 locked勒索病毒为每台计算机生成一对RSA密钥对。这对密钥对中的私钥会通过硬编码在勒索病毒程序文件中的一个RSA公钥进行加密并格式化后作为PersonID,RSA密钥对中的公钥则用来加密为每个待加密文件生成的AES密钥,加密后的内容将直接存储在被加密的文件中,而这个AES密钥才是最终加密文件的密钥。 此次传播的locked勒索病毒为国外传播的Tellyouthepass勒索病毒变种。Tellyouthepass勒索病毒与此次传播的Locked勒索病毒拥有几乎完全相同的勒索信息,并且在函数命名上也几乎完全相同。 针对该恶意程序所造成的危害,建议用户多台机器不要使用相同的账号和口令,口令要有足够的长度和复杂性,并定期更换。重要资料的共享文件夹应设置访问权限控制,并进行定期备份。在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版。同时,关闭不必要的端口,并安装防火墙,以免使电脑受到该恶意程序的危害。 感染勒索病毒建议立马做以下几件事情: 1.将感染病毒的断开互联网连接; 2.拔下所有存储设备; 3.注销云存储帐户; 4.关闭所有共享文件夹; 5.寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改,这将二次破坏文件内容,可能导致后期数据无法恢复。 中了勒索病毒文件该怎么办? 此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的修复方案。 考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后序做好系统安全防护工作即可。 系统安全防护措施: 1.多台机器,不要使用相同的账号和口令 2.登录口令要有足够的长度和复杂性服务器内容加密,并定期更换登录口令 3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份 4.定期检测系统和软件中的安全漏洞,及时打上补丁。 5.定期到服务器检查是否存在异常。 6.安装安全防护软件,并确保其正常运行。 7.从正规渠道下载安装软件。 8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。 9.保存良好的备份习惯,尽量做到每日备份,异地备份。 (编辑:百客网 - 百科网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐