上一次有客戶的文件伺服器被勒索病毒攻擊,已經是兩年前的事情了,但是至今記憶尤新,由於當時沒有什麼可用的工具,文件伺服器損失慘重,有用的文件基本上無一倖免,如今想起來仍然心有餘悸。沒想到,今天又接到另一客戶的求救。
老規矩,黑客會給你個郵箱,讓你聯繫,然後就是交贖金,還只收比特幣,咱們可沒有啊,有也交不起
桌面上的文件都變成白色圖標了,沒一個能打開的,大部分應用程式也中招了
打開電腦裡面的文件夾,大多數都被感染了,悲劇!
如果是資料庫文件被破壞了,專業的數據恢復軟體,也許還能恢復一些,但是辦公文檔類的文件,只能藉助類似360解密大師的工具來試一下了
客戶一定是急壞了,直接把域控給格式化了(我心一沉,有種不祥的預感),而這台文件伺服器,因為文件眾多,只能先斷網,按照我說的,下載了360解密大師,但是沒能解密恢復一個文件,換個解密軟體,也是一樣的遭遇!悲苦的人啊。我讓他趕緊聯繫一下360工程師試一下。
結果360的工程師經過一番診斷,告訴他,應該是黑客利用了域控的弱密碼,直接遠程桌面把勒索病毒放進來的,然後再感染了文件伺服器,由於是變種,360目前工具無效,要想解密,只有兩個辦法:1、提交域控密碼,360可以提供有償服務,還有一線希望,但是必須從第一台被控制的伺服器入手;2、交贖金。
我客戶一聽,恨不得抽自己的臉,他第一反應就是把域控格式化了。。。
既然已經這樣了,還有什麼辦法?放棄吧,估計是要哭著給兩台伺服器重裝系統了!
裝完系統,記得第一時間上防範手段啊:
1、管理員必須複雜,建議10位以上,英文字母大小寫、數字、特殊符號必須給它整齊了,例如:ZhiZhaoWang@3986751#$!,而且密碼還要經常改,至少3個月要修改一次;
2、使用帳戶鎖定策略,對錯誤次數達到規定數量的登錄和訪問行為進行阻止
win鍵+r,調出「運行」,輸入命令:gpedit.msc,打開組策略編輯器
如下圖所示,帳戶鎖定閥值,可以設置為3次或者5次,鎖定時間,可以設置為兩小時,沒有哪個黑客有耐心等兩小時,而且只能再試3次5次;
3、安裝文檔衛士,並且設置備份的文件類型和備份路徑,以備不時之需。雖然解密無計可施,但是文檔衛士可以讓勒索病毒也無計可施,不能加密被保護的文件;
4、其實可以搭建Linux系統的文件伺服器,一樣可以用域帳戶登錄,比windows的文件共享服務安全多了;沒必要開共享的電腦和伺服器,就不要開了,尤其是個人電腦,都懶得輸入太長太複雜的密碼,設置了共享文件夾,等於是為勒索病毒打開了大門;
5、如果網關是硬體防火牆,可以在防火牆上定義安全策略、防病毒策略,以阻止黑客和病毒的入侵行為;
6、及時為系統打補丁。雖然補丁也經常坑我們,但是兩權相害取其輕,畢竟補丁帶來的麻煩都好解決,病毒就難說了,對吧?