在我对勒索病毒一无所知的时候,我觉得我这辈子遇到勒索病毒的概率和我遇到鬼差不多(无神论者)!首先说一下我是什么行业的,我们公司是做ERP软件的,国内某知名品牌ERP软件,比如金蝶,用友等等,这个行业都是代理商模式的,所以基本都是小微企业,数据存储一般会选择阿里云,华为云等云租赁平台。丰富,安全,稳定的产品及服务是某云主喊的口号,没错!中勒索病毒的就是阿里云平台。
10月21号的凌晨4点左右,客户联系我ERP使用不了,我习惯性的上服务器检查运行状态,通过远程桌面登入后台的时候,发现电脑的所有文件格式都不对,统一被篡改成后缀.520的文件,居然这个时候我都没有发现是勒索病毒(想哭)!直到我打开一个!_INFO文档的勒索信我才恍然大悟,哈哈哈,如图:
第一时间我的做法是求助了阿里云平台,电话了400-80-13260,客服的意见就是等待,我们会提交,然后让我提交工单等待处理,工程师陆陆续续的回复,反正最后的最后将结果就是我们也没有办法,建议报警!但是我在日程里看到攻击的时间点在凌晨1.30左右,那个时间阿里云给我发过消息提醒说有入侵,但是已经拦截成功,哈哈哈,大无语事件啊,家人们。我处在崩溃的边缘开始通过邮箱联系黑客,黑客回复的也慢,基本是10分钟左右回复一条。
如果他给我留电话,我一定哭给他听,天价赎金!这条路也走不通了,我短暂的休息了一下,开始寻找下一个方案,也大概科普了一下.520病毒以及其他勒索病毒的来源,.520后缀勒索病毒是国外知名的 BeijngCrypt勒索病毒家族的新型传播病毒,是一种基于文件勒索病毒代码的加密病毒。入侵的途径有:
远程桌面口令爆破
关闭远程桌面,或者修改默认用户administrator。
数据库弱口令攻击
检查数据库的sa用户的密码复杂度。
软件漏洞
事已至此,问题总要解决,我开始我的另外一条征途,找数据修复公司,我最初的想法就是,哪怕其他的文档无法修复,修复数据库也就行了,通过多个平台联系了多家数据修复公司,比较下来我选择了一家上门服务的公司,不成功不收费,虽然价格也不便宜,全部无损恢复数据之后还是觉得真香!在我签订合同之后1个小时左右,他们工程师就上门来修复了,确实速度!工程师技术服务号(Your888311):
经过这一天的神奇之旅,我想用我的小白经历来警醒大家,建议如下:
1、服务器本机备份。设置一个凌晨1-3点的自动备份,备份到C:WindowsSysWOW64目录下。可以使用bak的或者是mss,建议无扩展名或者使用dll。勒索病毒目前不感染系统文件夹。
2、外置存储和备份。尽量做好优盘或者移动硬盘的备份。
3、服务器开机密码。设置为状如 AsdF@98!+ 这种复杂格式。至少8字符。禁止在任何PC端保存远程桌面服务器的开机密码,如确实需要远程桌面,每次录入密码。
4、禁止在服务器对外共享硬盘、文件夹、打印机。
5、路由器端口。不要开放路由器的3389、1433外网端口。如确实需要,请将外网端口自定义。
6、安装SQL的时候,重新命名一下实例。比如:电脑名字SQL2K8R2 观察某些中毒机器,多实例名的,多数不感染自定义实例。
7、中毒后处理。用PE拷贝出物理文件保留,有一定的恢复的可能。被感染过的文件不具有传染性。
8、虚拟化软件服务器和数据库服务器分离。科迈、易联宝、天翼等的远程虚拟化软件,配置另外一个服务器对外服务,虚拟化软件服务器和数据库服务器分离。
即使用的阿里云,华为云等等一系列的云产品,一定要做快照!
You don’t know which comes first, tomorrow or the accident!2022平安顺遂
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8581 人正在系统学习中
来源:阿奈奈
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!