宏宇方舟为客户提供勒索病毒解密服务,已成功完成多次恢复任务。
勒索病毒解密与恢复服务
宏宇方舟公司为客户提供专业的勒索病毒解密与恢复服务,勒索病毒一般分两种攻击对象,一部分针对企业用户(如xtbl,wallet),一部分针对所有用户。我们用最快速的解决手段,最节约的工作成本为您的数据安全提供保障。
该类型病毒的目标性强,主要以邮件为传播方式。
勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥私钥写入到注册表中,遍历本地所 有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。
服务范围:
1、WannaCry:利用“永恒之蓝”漏洞传播,危害巨大
WannaCry勒索病毒,最早出现在2017年5月,通过永恒之蓝漏洞传播,短时间内对整个互联网造成非常大的影响。受害者文件被加上.WNCRY后缀,并弹出勒索窗口,要求支付赎金,才可以解密文件。由于网络中仍存在不少未打补丁的机器,此病毒至今仍然有非常大的影响。
图:WannaCry勒索病毒
2、BadRabbit:弱口令攻击,加密文件和MBR
Bad Rabbit勒索病毒,主要通过水坑网站传播,攻击者攻陷网站,将勒索病毒植入,伪装为adobe公司的flash程序图标,诱导浏览网站的用户下载运行。用户一旦下载运行,勒索病毒就会加密受害者计算机中的文件,加密计算机的MBR,并且会使用弱口令攻击局域网中的其它机器。
图:BadRabbit勒索病毒
3、GlobeImposter:变种众多持续更新
GlobeImposter勒索病毒是一种比较活跃的勒索病毒,病毒会加密本地磁盘与共享文件夹的所有文件,导致系统、数据库文件被加密破坏,由于Globelmposter采用RSA算法加密,因此想要解密文件需要作者的RSA私钥,文件加密后几乎无法解密,被加密文件后缀曾用过Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444等。
图:GlobeImposter勒索病毒
4、GandCrab:使用达世币勒索,更新频繁
Gandcrab是首个以达世币(DASH)作为赎金的勒索病毒,此病毒自出现以来持续更新对抗查杀。被加密文件后缀通常被追加上.CRAB .GDCB .KRAB 等后缀。从新版本勒索声明上看没有直接指明赎金类型及金额,而是要求受害用户使用Tor网络或者Jabber即时通讯软件获得下一步行动指令,极大地增加了追踪难度。
随着版本的不断更新,Gandcrab的传播方式多种多样,包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。此病毒至今已出现多个版本,该家族普遍采用较为复杂的RSA+AES混合加密算法,文件加密后几乎无法解密,最近的几个版本为了提高加密速度,对文件加密的算法开始使用Salsa20算法,秘钥被非对称加密算法加密,若没有病毒作者的私钥,正常方式通常无法解密,给受害者造成了极大的损失。
图:Gandcrab勒索病毒
5、Crysis:加密文件,删除系统自带卷影备份
Crysis勒索病毒家族是比较活跃的勒索家族之一。攻击者使用弱口令暴力破解受害者机器,很多公司都是同一个密码,就会导致大量机器中毒。此病毒运行后,加密受害者机器中的文件,删除系统自带的卷影备份,被加密文件后缀格式通常为“编号+邮箱+后缀”,例如:
id-{编号}.[gracey1c6rwhite@aol.com].bip
id-{编号}.[chivas@aolonline.top].arena
病毒使用AES加密文件,使用RSA加密密钥,在没有攻击者的RSA私钥的情况下,无法解密文件,因此危害较大。
图:Crysis勒索病毒
6、Cerber:通过垃圾邮件和挂马网页传播
Cerber家族是2016年年初出现的一种勒索软件。从年初的1.0版本一直更新到4.0版。传播方式主要是垃圾邮件和EK挂马,索要赎金为1-2个比特币。到目前为止加密过后的文件没有公开办法进行解密。
图:Cerber勒索病毒
7、Locky:早期勒索病毒,持续更新多个版本
Locky家族是2016年流行的勒索软件之一,和Cerber 的传播方式类似,主要采用垃圾邮件和EK,勒索赎金0.5-1个比特币。
图:Locky勒索病毒
8、Satan:使用多种web漏洞和“永恒之蓝”漏洞传播
撒旦Satan勒索病毒运行之后加密受害者计算机文件并勒索赎金,被加密文件后缀为.satan。自诞生以来持续对抗查杀,新版本除了使用永恒之蓝漏洞攻击之外,还增加了其它漏洞攻击。病毒内置了大量的IP列表,中毒后会继续攻击他人。此病毒危害巨大,也给不打补丁的用户敲响了警钟。幸运的是此病毒使用对称加密算法加密,密钥硬编码在病毒程序和被加密文件中,因此可以解密。瑞星最早开发出了针对此病毒的解密工具。
图:Satan勒索病毒
9、Hc:Python开发,攻击门槛低,危害较大
Hc家族勒索病毒使用python编写,之后使用pyinstaller打包。攻击者使用弱口令扫描互联网中机器植入病毒。此病毒的出现使勒索病毒的开发门槛进一步降低,但是危险指数并没有降低。通常使用RDP弱口令入侵受害机器植入病毒。早期版本使用对称加密算法,密钥硬编码在病毒文件中,新版本开始使用命令行传递密钥。
图:Hc勒索病毒
10、LockCrypt:加密文件,开机提示勒索
LockCrypt病毒运行后会加密受害者系统中的文件,并修改文件的名称格式为:[$FileID]=ID [$UserID].lock。其中$FileID为原始文件名加密base64编码得到,$UserID 为随机数生成。重启后会弹出勒索信息,要求受害者支付赎金,才可解密文件。
图:LockCrypt勒索病毒
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
1、通过脚本文件进行Http请求;
2、通过脚本文件下载文件;
3、读取远程服务器文件;
4、收集计算机信息;
5、遍历文件;
6、调用加密算法库。
恢复过程中注意事项:
修复前需关闭软件。
修复过程中请勿操作其它程序,耐心等待修复完成。
恢复完成后注意事项:
恢复完成数据后请查看重要文件是否恢复正常。
就算用最牛的安全软件,也只是被动防御,防不胜防。养成良好的定期备份习惯才是主动防御。所以请第一时间备份数据至其它存储器上。
如不放心是否残留恶意程序,可重新安装操作系统,并安装安全软件。
为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:
沟通之后我们会以最快的方式对您反馈的信息进行分析,制定省时高效的修复方案,最大限度保障您的利益。
我们拥有专业级检测工具、BGA焊接机、示波器等顶级维修和检测设备,以及18年维修经验的工程师团队。
联系电话:400-690-6226
