服务器突遭攻击|被勒索病毒入侵|和H客的攻防战

  • A+
所属分类:[日志]

上周是困苦、难熬、头疼的一周,阿里云服务器被勒索病毒攻击了,很多内部资料被加密,导致业务瘫痪,举步维艰。

勒索病毒,是一种新型病毒,H客主要以邮件、程序木马、网页挂马的形式攻击系统,这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,需要拿到解密的私钥才有可能破解,感染后将给用户带来无法估量的损失,性质恶劣、危害极大。

通过几天时间的研究,了解到勒索病毒工作流程一般为:

1、通过脚本文件进行Http请求;

2、再通过脚本文件下载病毒文件;

3、读取远程服务器文件;

4、遍历服务器文件;

6、用加密算法对文件进行加密。

被H客攻击后,立马进入服务器查看,发现每个文件都被改成一大串数字,后缀名为.actin,打开文件提示ALL your files have been encrypted! 此时的心里是拔凉拔凉的。和同事共同想办法是否能解决,分为三步走:

(一)联系阿里云,提交工单,让客服加急处理查找原因,不然就投诉,把其他的数据进行备份,当时心里挺气愤的,一直相信阿里云在拦截这块做的很好,没想到啊。

(二)联系以前的技术同事,他们也曾遭遇过H客攻击,了解他们的处理办法,给出建议后我们立马进行尝试。

(三)按H客提供的邮箱,发送邮件,了解解密的要求及金额,等的回复邮件那是度日如年,到了晚上十点多才给个简单的回复。

Et07jz0Hg0Ji0tzTJhZGTK.jpg.thumb.jpg

其实还是期待阿里云能解决,但最后的结果还是令人失望的,寻求第三方公司和其他工具都是效果不大,着急的我们实在没办法就尝试和H客联系,给出的条件特高还是比特币交易。

c48NeoRr2jm6OLLsS8S4Mr.jpg.thumb.jpg

最后还是重做系统,按部就班的把以前的工作逐一核对,一步一步的发布程序,耗时耗力,带来的数据损失不可估量。

个人真实的案例提醒各位企业用户,一定要在内网、服务器管理方面养成良好的安全习惯,提高风险防范意识,并正确使用安全软件,避免被病毒攻击带来不可挽回的损失。

以下总结了自己的几点建议,我们可以从安全技术和安全管理两方面入手:

1、不要打点击来历不明的邮件,防止通过邮件附件的攻击;

2、勿点击office宏运行提示,避免来自office组件的病毒感染;

3、从正规途径下载软件,不要双击打开.js、.vbs等后缀名文件;

4、在服务器里安装360杀毒软件或者安全狗;

5、定期异地备份重要的数据和文件,阿里云的可以使用快照,中病毒后可以回滚磁盘;

6、更改服务器口令、多台机器不使用相同或相似的口令;

7、及时更新系统漏洞。

8、安全加固,对服务器和终端安装专业的安全防护软件

9、对内网安全域进行合理划分,各个安全域之间限制严格的 ACL等!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: