注意:新一轮勒索病毒攻击医院行业

释放双眼,带上耳机,听听看~!

售前工程师应该如何讲解PPT?

因为工作的原因,经常会参加一些研讨会或者产品发布会。听过很多厂商的售前工程师讲解PPT,讲的好的,下面的听众个个听的津津有味,但很多数的人在讲的时候,下面的人是在玩手机或者干别的事。这样的演讲效果可想而知。 讲PPT,主要有两种场景,一种是技术培

这几天,又一轮勒索病毒袭击了医院,从上级主管部分发的通知来看,这次又是农合系统被感染。我们也陆续收到多起被勒索病毒感染导致文件被加密的报告。

相比去年的永恒之蓝,这次的病毒是以GANDCRAB5.0.4为主,危害更加严重,上次只是造成大面积的蓝屏,而这一次却是实实在在的加密了文件。关于gandcrab勒索病毒的情况,请参看我之前发布的文章:《注意:GandCrab勒索病毒出现5.0.3版本

我整理了几个大家问的最多的几个问题,统一做答复:

一、我怎么知道我感染了勒索病毒?

看到几个公众号,在介绍勒索病毒的时候,都会提到一个重要的特征,就是桌面会被替换为勒索图片,比如:

所以经常有人问我,我的文件后缀被改了,是不是中勒索病毒了?我说是啊,很明显的特征啊,他们说,可是我们的桌面没有变成你们说的那个图片的样子啊。

这里我要再强调一下,并不是所有的勒索病毒感染后都会有桌面的变化,要判断是不是被勒索,其实有几个典型的特征:

1、文件被加密,文件后缀被改变。目前我只遇到一个过被加密后文件名不变的例子,绝大多数的勒索病毒被加密后文件名后缀会改变。

2、在被加密的文件夹中,会有一个没有被加密的文件,一般是TXT文件,有时候是HTML文件。打开这个文件,就可以看到勒索病毒的信息。如果文件名格式是:XXXXXXX-DECRYPT.txt(XXXXXXX表示一个6-9位的随机字符),那么这个勒索病毒就是GANDCRAB5.0.4。

打开这个TXT文件,就可以看到关于该病毒名称和勒索信息:

只要有以上两点特征,就可以确定是中勒索病毒了,至于那些个桌面图片,目前遇到的并不多。

二、中毒了我该怎么办?

这是问我最多的一个问题,虽然我一再强调这个病毒暂时无解,但还是很多人心存侥幸,也有人告诉我说某某公司说可以解,要多少多少钱。遇到这个我也只能呵呵了。

关于这个问题,我在前面的文章中做过介绍,大家可以看一下

来看看你被勒索病毒加密的文件是否可解

也就是说,如果你中毒了,要么选择放弃数据,要么选择付赎金给黑客(或黑客的代理),如果你不想被代理再中间赚一笔,你也可以试着自己联系黑客,方法也简单:

1、下载一个洋葱浏览器www.torproject.org(暗网只能通过洋葱浏览器才可以浏览)

2、输入黑客留给你的地址。就会打开GANDCRAB勒索病毒作者的页面。

3、提交黑客留下的这个TXT文件,页面上就会显示赎金的金额。比如下图这个,黑客要价7000美元,一天后翻倍。

也有人问我,会不会出现付了款解不密?这个问题不好说,以前也出现过交过钱解不了密的情况,但也有成功的。只能祝你好运了。

当然,我们不建议你向黑客支付赎金。

三、我们的是内网,也会感染吗?

走近卡巴斯基(六)

前     言 杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

其实这次感染的医院都是不联互联网的,连接互联网并不是感染病毒的一个必要条件。

虽然没有直接连接互联网,但对于医院来说,并不是孤立的,你总要连医保吧,总要连农合吧,总要用U盘吧,总要安装软件吧,总有一些人连入内网吧(比如软件开发或运维人员)。简单来说,只要你的电脑跟外部存在数据交换的机会,就有感染病毒的可能。

而且内网往往更容易感染病毒,为啥呢?就是因为很多人对于连接互联网的电脑会担心中病毒,所以会加强管理。而对于内网电脑总以为不会感染病毒,所以反而放松警惕,甚至什么安全措施都不采取,反而更容易出事。


四、我应该如何防范?

前面说了,这个病毒一般被感染,基本是无解的,所以我们能做的,就是做好防范,防范措施如下:

1、及时给系统打补丁。结合最近遇到的几个GandCrab的感染案例,我们发现,被感染服务器大多为中间件服务器,且有目标性。涵盖tomcat、jboss、weblogic等,有足够证据表明gandcrab非常喜欢通过应用漏洞层面进一步渗透。比如上个月某百货公司被GandCrab V4.0加密,检测后发现黑客是通过JBOSS漏洞入侵系统,这次这个用户感染V5.0.3是通过weblogic漏洞入侵系统。前一段成都一个客户感染是通过tomcat漏洞入侵系统。所以请大家在关注给操作系统打补丁的同时,也要注意应用程序尤其是中间件的补丁也一定要打上。


2、安装专业靠谱的杀毒软件,并开启主动防御功能。并不是所有的杀毒软件都可以防范。


3、对外业务系统屏蔽远程登录端口以及其他高危端口,为你的系统设置复杂的强口令,有条件的部署应用防火墙或者漏洞扫描,及时发现和阻止通过漏洞进行的攻击。阻止端口访问的方法,可以参考《防黑必备技能之端口篇(3)


4、也是最重要的一点,那就是备份!备份!备份。而且一定要注意,备份数据不可以和原始数据放在一起,一定要离线存储。

再强调一下,对于勒索病毒,像双机、双活之类的高可用和实时同步技术是无法防范的,必须要有定时的备份。

最后提醒一下大家:防范不是靠一种手段就可以解决的。

  1. 仅靠打补丁不行。打补丁只是堵上了病毒感染和传播的一个途径而已,并不是唯一的途径。

  2. 只靠杀毒软件不行。最近遇到的几例用户都安装的有杀毒软件,而且已经进行了有效的拦截,后来黑客通过破解密码进行远程登录关闭杀毒软件从而进行了感染(参看我之前的文章《一场由密码引发的惨案!》),还有几例是通过漏洞绕过杀毒软件的。所以千万不要把希望都寄托在防病毒软件上。当然了,因此就不装杀毒软件更是万万不可的。

  3. 任何的防范手段都不能保证百分百的安全。数据备份与灾难恢复是数据安全的最后一道防线。务必要有数据备份系统。

延伸阅读:

勒索病毒和恶意软件最容易藏身的五个地方

注意:GandCrab勒索病毒出现5.0.3版本

号称完美破解GandCrab勒索病毒的某厂商,你真的不会脸红吗?

来看看你被勒索病毒加密的文件是否可解

又双叒叕一家单位被勒索了!

一场由密码引发的惨案!

难道这就是近期医院屡受攻击的原因?

小心,一大波病毒来袭!!

聊聊关于勒索病毒那些事!

关于勒索病毒,你需要知道的几个问题!

永恒之蓝勒索病毒完整解决方案

浅谈虚拟化平台的防病毒保护

欢迎扫描二维码关注:大兵说安全

本文源自微信公众号:大兵说安全

看看他们,你才知道什么是“蓝瘦香菇”!

这几天,有一个“蓝瘦香菇”的少年刷爆了朋友圈,因为女孩纸,因为失恋……鬼知道这个少年究竟经历了什么,竟然能“伤心欲绝”到这般田地……虽然无法感同身受少年的痛苦,但现如今“蓝瘦香菇”的可不止少年一人,看看我最近收到的一些消息,我相信这些才是好

人已赞赏
安全工具

net利用Att&ckT1121

2019-10-14 16:29:58

安全工具

售前工程师应该如何讲解PPT?

2019-10-14 17:29:37

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索