安全专栏

安全专栏 当前位置: 网址首页 >> 安全专栏 >> 正文 >

紧急处理加密勒索病毒的六条原则

发布时间:2016-03-22 浏览次数:

现在的加密勒索病毒还是很猖狂的,一般有用户中招后病毒会直接向用户限时索要钱财。

软件开发者为了躲避追查甚至要求用户使用虚拟货币比特币BTCoin)去支付,否则将可能永远无法打开被加密的文件。

从大多数加密勒索病毒的执行过程中看一般都是会向远程CC主机取得加密密钥,再暗中加密受害者电脑上的文件和档案。

这种过程像是先使用AES加密文件,再使用非对称密钥RSA加密来将AES密钥加密,且密钥长度为2048位、如果用户想使用爆破的方式来解密,哪怕是使用超级计算机也得好几年才能解开。

当用户电脑中的重要文件如WordExcelPowerPointPDFJPG/PNG文件,近百种常见的文件格式都会被而已加密,加密后病毒就会弹出窗口索要钱财。

一般情况下这些加密勒索病毒只会给用户三天的时间考虑,如果超过三天没有支付就会销毁密钥,让用户再也没有办法解开文件。

同时加密勒索病毒在支付方式上更加隐蔽,为了隐藏身份和提高追踪难度,作者会要求用户使用虚拟货币比特币来支付。

当用户看到加密勒索信息时同时也会发现无法打开任何被加密的文件了,即便是文本文档内容也会被加密,打开会直接显示乱码信息。

而且新的变种加密勒索病毒更是变本加厉将文件扩展名也一起加密,这样用户直接无法分辨被加密的都是些什么文件,而用户担心无法解密文件从而去支付赎金。

加密勒索紧急应变之道

在遭受到加密勒索病毒入侵后真的没有办法破解了吗?答案是确实的,大部分加密勒索病毒都是使用经过2048RSAAES加密,想自己通过暴力破解取回文件的可能性几乎为0

另一方面从安全软件厂商的统计资料看出,中小企业为受害对象的比例明显增加,一旦中小单位真的面临加密勒索病毒威胁时应该如何解决呢?

处置原则一:中断网络连接

最近网上很多人都在咨询与查找如果中了加密勒索病毒该怎么办的信息。

安全软件厂商专家都是建议先立刻中断网络连接,避免加密勒索病毒感染局域网中的其他机器,这是最简单易做的处理方式。

虽然大多数用户意识到被加密勒索病毒绑架时通常网络灾害已经发生了,但将受害的主机隔离仍然是不可或缺的首要处置原则。

处置原则二:发现后应立刻关机、强制关机、断电

若是用户能够及时发现自己的文件存在异常、正在被篡改和加密,这时首要的动作是关机,通过长按开机按钮强制关机或直接断开电源。

之后将该主机的硬盘取出通过外部连接的方式将未加密的文档先保存下来,这样可以最大程度上降低损失。

在这里也要提醒各位的是如果你将硬盘接入另一台设备Copy未被加密的文件时不要点击已经被加密的文件,以免这些文件里包含病毒感染你的设备。

抢救只是权宜之计,预防更加重要

处置原则三:紧急宣导、清查

由防病毒软件厂商提供的数据称,绝大多数加密勒索病毒都是通过钓鱼邮件的方式入侵到电脑上的。

因为在发现自己的家庭或企业有电脑被感染了的情况下,应立刻通知所有人检查自己的电脑,并对所有的邮件保持警惕、不要随意点击链接下载陌生软件

工作人员也可以自行发送钓鱼邮件来测试同事们有没有提高警觉,以便能进行针对性的指导。

处置原则四:评估灾情

评估灾情是相当必要的一点,知道哪些资料被加密了才能了解企业损失范围与严重性,同时也要清查这些档案是否有备份、能否将档案恢复。

万幸的是现在已经有一些防病毒厂商例如卡巴斯基CiscoBitDefender以及Fireeye,针对加密勒索病毒推出了解密工具与网站,像是中了CoinVaultBitCryptorTeslaCryptLinux.Encoder.1CryptoLocker的受害用户,就有机会将文件解密还原。

必须要提醒你的是,不要病急乱投医、在某些搜索引擎上搜索到假的解密网站会导致你受到二次伤害!

另外上述防病毒厂商推出的解密网站以及工具,是通过入侵病毒作者的服务器从而获取到的解密密钥,并不是自动化的工具能帮你破解密钥。

所以并不是能帮大家解密所有被加密的文件,当然至少目前你可以多一种选择。

处置原则五:系统重装,但软件防护要更注意

要是灾情不算严重、没有太多的重要文件被加密或者是都有安全备份可以将文件恢复,仅仅有一点点文件丢失的,多半用户会选择将被感染的电脑格式化硬盘并重装操作系统,让电脑恢复成干净的原始状态。

然而格式化硬盘并重装系统固然重要,但软件防护也相当重要的,例如开启Windows系统的自动更新、是否安装防病毒软件、防病毒软件的防护功能是否全部开启。

因为除了已知病毒的防护还要提升对未知病毒与最新攻击的防护力。

而且多说防病毒软件在预设上通常为了提高用户体验并不会将所有的功能打开,因为开启太多的功能会影响系统的效率。

虽然这样的选择让用户更有弹性,但无形中也提升了一些安全风险,因为并不是每个人都能自己衡量并注意。

其他还需要注意的就是常用的软件存在的BUG,例如JavaAdobeFlashPlayer等有没有更新到最新版本。

处置原则六:没有办法中的办法支付赎金

该不该去支付赎金是让很多中招用户两难的问题,基本上安全专家都是不建议用户去支付赎金的,因为这会助长犯罪、更让病毒作者为所欲为。

但实际上在遭遇到加密勒索病毒的情况下,发现影响重大许多重要文件都被破坏,在没有任何有效办法的情况下,如果只要花费不多的赎金有机会取回文件,用户可能就会去买单。

但你需要特别注意的是,你支付了赎金病毒作者并不一定就会给你解密密钥,这在中国更为常见,用户的设备被黑客锁定,而用户支付500元的赎金后黑客继续索要更高的赎金并变着理由来要。

所以如果你实在没办法的情况下向病毒作者支付赎金后并没有获得解密密钥且作者继续向你索要赎金那么一定不要再支付!

在现实生活中勒索行为已经触犯了刑法,但是让人无奈的是网络勒索犯罪通常都是跨国的事件,加上通过虚拟货币支付更是难以追查始作俑者。

当然普遍中小企业或者个人可能受到人力、成本与规模,无法像大公司那样有完整的安全防护,绝大多数企业都是中招了才会去应对,也只能消极的去应对。

对于勒索攻击来说,企业是非常吸引人的攻击目标,因为无论企业规模大小,如果没有相应的安全措施,危险程度就非常高。

所以无论你是什么样的企业、规模多大的企业,对员工的安全宣导都是必不可少的,因为如果一个人中招严重的话可能会牵连到整个公司的设备。

总结

提高网络安全意识才是重中之重,没有一点点安全意识那么使用再多的防病毒软件也是白搭。

习惯更重要,定期备份重要文件、定期使用防病毒软件全盘扫描,不点击、不下载、不安装默认软件、及时更新软件版本、安装补丁,这样虽然可能显的非常繁琐,但如果有一天你中招了,你就发现坚持了这么久的繁琐最后会成为你的保命秘笈。


版权所有:长春工程学院现代教育技术中心