网站地图  /  加入收藏  /  联系我们  /  业务合作  /  诚聘英才
 
站内搜索:     
首页 数据恢复 数据备份 成功案例 客服中心 资讯中心 关于碟科
 
·业界动态
·最新公告
·技术文章
 
电话:0512-81660623
热线:0512-65095791
资讯中心
勒索病毒现状调查和恢复技术介绍
苏州数据恢复   2020-03-07 14:08:56 作者:碟科 来源:碟科数据恢复中心 文字大小:[][][]

        借助数字货币和匿名网络的技术实现,很多犯罪组织团伙在互联网上利用各种网站挂载木马、钓鱼邮件、漏洞攻击、弱口令爆破等方式入侵企业服务器,将企业数据进行加密而勒索巨额财产,让企业蒙受严重损失,追踪不法者的踪迹对于世界各国的执法机构都是很难的事件。并且勒索病毒的版本频繁升级更新,加密中招的数据文件如果没有密匙必然是很难完全解密。

       其间有些个人或单位发现其中的商机,充当黑客和被勒索者间的联络人做虚拟货币代购、交换和价格谈判服务,代理具一定量级最后却成了不法份子整个作案利益链中的一部分,沦为为虎作伥的帮凶而触动了法律的红线。

 

       从2016年勒索病毒爆发初期碟科数据恢复中心就密切关注数据加密后的解密方法,早期版本的勒索病毒主要通过钓鱼邮件和网站恶意代码下载进行传播,个人电脑中招的比较多,病毒加密文件后生成的唯一解密密钥会被上传到指定的匿名服务器,在安全软件厂商和国际刑警的合作下,查封服务器成功追回了很多解密的密钥,执法机构或安全软件厂商会把中毒都的ID和对应解密密钥列出来或加入自己的安全解密小工具中,另外如果硬盘分区有开卷影副本功能也可以通过还原点成功恢复数据。

      在2017年5月一种叫WannaCry的勒索病毒让全球认识到他的破坏力,利用微软最新漏洞(代号为“永恒之蓝”),所有的安全软件对他目视无睹学校政府企业医院的电脑服务器全部中招,全球损失惨重。近两年勒索病毒一直没有消停,组织更专业隐蔽、分工明细、勒索赎金高,并且攻击对象更定向于企业类服务器。勒索病毒版本繁多加密样式也有加密文件、破坏硬盘系统和分区、和加密硬盘,从对被加密硬盘内的文件后缀就可以看出版本的变化,如GANDCRAB   .wecanHelp .865qqz .happychose ... 等层出不穷。

     关于如何防范勒索病毒对我们数据资产的破坏?

      要做好企业员工信息安全教育,增设硬件防火墙和商业防毒软件,制定有效的备份策略(碟科有推出企业数据安全备份机,可咨询我们的产品经理)。平时只是做的简单的D盘拷E盘备份,免费杀毒软件,服务器默认帐号administrator 密码设成abc 123这都是非常严重的危险隐患。

      那我们重点说明一下,如果中了勒索病毒应该如何进行文件解密呢?

      首先我们不提倡用户向黑客进行支付赎金的交易,因为没有“没有买卖就没有杀戮"。当然,你的数据非常重要!急迫需要!!这是解密唯一途径时,你愿意一试也无人能够阻拦你去支付给匿名者解密赎金,但有很多用户交付巨额赎金后却无法解密的事件也时有发生。

      在碟科数据恢复近几年的恢复经验来看,由于数据运行存储的特性,有很多被勒索病毒加密的数据文件还是有希望恢复的。首先建议不要破坏中毒加密后的硬盘分区数据,针对基于SQL Server数据库和ORACLE数据库应用的各类企业ERP,财务数据库(如金蝶、用友、管家婆等等其它基于数据库运行的软件...)都是可能通过分析加密的数据库MDF,DBF数据文件进行修复恢复。对于图片文档类的数据,可以尝试查找加密前的文件移动和整理以及病毒加密时所产生的临时副本(机会比较小),或者通过恢复加密文件之前的产生和中转存储介质。如果文档图片没有太多的数据时效性,可以先暂存加密的文件数据,也许后面出于其它因素得到了公开的免费解密钥匙,因为之前也确实有发生。犯罪分子良心发现或收手不干或被绳之以法交出公匙等各类因素,用户保存加密的数据文件半年后得到可用于解密文件的免费密匙。如果是关系到经营生产的数据库文件被加密,第一时间联系碟科数据恢复中心400-0282004为您恢复业务运行,加密数据库的恢复我们有非常丰富的恢复处理经验。

 
 
Copyright © 2005-2010 Suzhou Dieke Date Recovery Center. All rights reserved
苏州数据恢复中心 地址:苏州市劳动路28号(三香路阊胥路交叉路口)华亭大厦15层1503室
电话:0512 - 65095791(24小时),0512-81660623 技术支持:苏州天络科技 苏ICP备07505790号