勒索病毒怎么解决

Posted 2023-05-15

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了勒索病毒怎么解决相关的知识，希望对你有一定的参考价值。

勒索病毒的解决如下：

1、及时止损（拔网线）。

能拔网线的直接拔网线，物理隔离，防止出现「机传机」的现象。如果是云环境，没法拔网线，赶紧修改安全组策略，总之，将被感染的机器隔离，确保被感染的机器不能和内网其他机器通讯，防止内网感染。

改密码！如果被勒索的机器和未被勒索的机器存在相同的登陆口令（相同的密码），及时修改未感染机器的登陆口令。

保护好案发现场，不要重启！不要破坏被勒索的机器环境，保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作，最好保持原封不动，在不了解的情况下，任何动作都可能导致系统完全崩溃，严重影响后续动作。

关端口及时关闭未感染机器远程桌面/共享端口（如：22/135/139/445/3389/3306/1521）对未感染的重要机器进行隔离备份，备份后及时物理隔离开备份数据，如：硬盘或者 u 盘备份后需要及时拔掉。

不要联系黑客，在不了解勒索病毒的情况下，建议不要直接联系黑客（容易钱财两空）。

2、确定影响范围。

止损之后，逐一排查感染规模及环境（是 OA 还是服务器/一共中了多少台），可通过网络区域划分，防火墙设备、流量检测设备辅助快速确认影响范围。

3、病毒提取和网络恢复。

取证，通过对被勒索机器进行取证提取病毒样本，或结合终端防病毒软件，对影响区域内或可疑区域进行逐台确认，是否有遗留的病毒样本，确保所有机器上的病毒样本均已查杀；恢复网络制定网络恢复计划，优先对非重要区域的终端进行网络恢复，恢复过程中需通过流量检测设备进行实时监测，确保恢复后不会出现横移情况；直至全部网络恢复。

4、数据恢复和解密。

目前绝大多数勒索病毒均无法解密（在没有拿到解密密钥的情况下），通常有如下几种选择：如有数据备份，则可以直接通过数据备份进行恢复；放弃数据恢复；联系勒索者缴纳赎金，但是不建议自己联系，最好是专业的服务商协助，他们比较知道怎么跟勒索者谈判。

5、溯源分析。

溯源分析的目的，并不是是查到勒索者是谁，而是找到勒索入侵的源头（从哪台机器上进来的），即 0 号主机，然后进行相应的安全加固，以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征，可以判断勒索病毒家族；

对于内部攻击路径溯源，需依托于网络、安全设备日志以及感染/关联终端日志记录，包括流量检测设备、防火墙设备、防病毒软件、终端日志。备注：因为很多勒索病毒存在反侦察手段，终端环境可能会被清理，如果没有流量监控等相关设备，溯源难度会非常大。

6、安全加固。

修复内网中高危漏洞，确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口，如：445、3389等。对重要系统进行异地物理备份，确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域，各个区域之间使用严格的ACL，避免攻击者大范围横向移动扩散。

参考技术A 一旦确认遭受勒索病毒攻击，我们要立即隔离感染设备、排查感染范围、研判攻击事件、尝试进行勒索病毒破解。

1.隔离勒索病毒感染设备
①物理隔离：断网断电、关闭无线网络、关闭蓝牙连接、拔掉存储设备
②修改口令：修改感染设备、最高级系统管理员账户以及同一局域网下的其他设备的密码

2.排查勒索病毒感染范围
①信息泄露排查：敏感信息存储设备异常访问
②网络拓扑排查：网络拓扑、业务结构
③业务系统排查：核心业务系统、数据备份系统
④数据备份排查：数据备份可用、备份设备对接

3.研判勒索病毒攻击事件
①研判勒索病毒种类
②研判攻击侵入手段：查看设备保留日志和样本，判断攻击侵入的方式

4.尝试进行勒索病毒破解
①已知私钥破解
②加密漏洞破解
③明密文碰撞解密
④暴力破解
参考来源：2021年9月中国信通院《勒索病毒安全防护手册》参考技术B 勒索病毒是一种恶意软件，它可以以各种方式侵入您的电脑或其他设备，然后将您的文件加密或限制您对计算机的访问权，并要求您支付一定的费用来解决问题。如果您的设备中了勒索病毒，那么这可能会造成很大的麻烦。
下面是几个步骤，可以帮助您应对勒索病毒：
1. 立即断开与互联网的连接
如果您在发现自己的设备中了勒索病毒后，应该立即断开与互联网的连接。这样可以防止黑客通过网络来进一步感染您的设备，并防止其扩散到其他设备。
2. 找到并删除病毒文件
接下来，您需要找到病毒文件，并将其删除。您可以尝试在安全模式下启动计算机，这样可以使操作系统仅运行必需的程序，以便更容易找到和删除病毒文件。
3. 恢复被加密的文件
如果您的文件已经被加密，您可以考虑使用备份来恢复数据。如果您没有备份，可以尝试使用数据恢复工具来恢复文件或选择专业数据恢复工程师来恢复。
4. 不要支付勒索费用
虽然黑客可能会威胁您，并要求您支付一定的费用来解决问题，但不要轻易支付勒索费用。这种行为不仅容易造成二次勒索，而且还很容易带来数据丢失问题。因此，如果您的设备中了勒索病毒，请尽量避免支付任何费用给黑客，正确的方式是选择专业的数据恢复工程师来恢复数据。
总之，如果您的设备中了勒索病毒，应该立即采取措施，并注意以下安全事项：备份数据、保持操作系统和软件更新、安装可信的防病毒软件等。最重要的是，不要随意下载或打开不明来源的文件，以免被再次感染勒索病毒。

电脑中了.pig865qqz 勒索病毒后的文件该如何解决？

什么是.pig865qqz勒索病毒？

名称	.pig865qqz勒索病毒
文件扩展名	.Globeimposter-.pig865qqz
类型	勒索病毒
家庭	GlobeImposter
简短的介绍	勒索病毒会加密存储在系统中的所有数据，并要求您支付一定的赎金以恢复重要文件。
病征	勒索病毒通过AES和RSA加密算法对文件进行加密。加密完成后，勒索病毒将其特殊的Globeimposter-.pig865qqz扩展名添加到它修改的所有文件中。
分配方式	垃圾邮件，电子邮件附件

.pig865qqz勒索病毒是一种与Globeimposter类似的病毒。它使用感染性注入算法感染系统。该算法针对文件锁定。一旦锁定，文件将具有扩展名“。名为“ Globeimposter-.pig865qqz ”。例如，文件名为“我的音乐”。感染后，该文件将被命名为“ my misuc.Globeimposter-.pig865qqz”。扩展名是关于文件感染的标记。.pig865qqz勒索病毒被称为诈骗病毒，因为它非法勒索金钱。它通过加密的文件。加密后，赎金记录将显示在屏幕上。系统将提示您取消阻止文件。

.pig865qqz勒索病毒是如何传播感染的？

在线诈骗有几种分发.pig865qqz病毒的方法。尽管尚不确定.pig865qqz注入系统的精确程度，但仍有一些泄漏可能会渗透到系统中：与第三方应用程序（尤其是免费软件）集成；

来自未知发件人的垃圾邮件；提供免费托管服务的网站；盗版对等（P2P）下载。

通常，.pig865qqz勒索病毒可能以某些正版软件的形式存在，例如，在弹出窗口中指示用户执行一些重要的软件应用程序更新。这是在线欺诈通过诱使人们直接参与安装过程的方法来诱使人们手动下载和安装.pig865qqz感染的典型技巧。

此外，犯罪分子可能会描述各种将垃圾代码注入PC的电子邮件垃圾邮件策略。因此，他们可能是指发送带有棘手通知的不请自来的垃圾邮件，这些邮件会促使用户下载附件或单击某些下载链接，例如，那些促使用户打开一些视频，文档，税务报告或发票的链接。

不用说，打开此类文件或单击此类危险链接可能会严重损害PC。虚拟Adobe Flash Player升级通知可能会导致.pig865qqz赎金注入。当涉及破解的应用程序时，这些非法下载的程序也可能包含导致.pig865qqz秘密安装的恶意代码。最后，.pig865qqz的注入可能是通过特洛伊木马进行的，这些木马会私自注入到系统中，并在未经用户同意的情况下安装有害工具。