前言
企业工作人员发现感染了.360勒索病毒之后,可能会第一时间不知道该怎么办,那么正确的操作是:1.第一时间对中毒机器进行断网处理,防止病毒扩散。2.备份中毒后的数据。3.确定勒索病毒的家族然后尝试找解密程序(勒索病毒的种类可以通过病毒留下的勒索信息、加密的文件后缀等信息来判断,可以找专业人员通过病毒样本来判断病毒种类)4.寻找专业第三方的技术支持。5.谨慎联系黑客。6.排查机器中毒原因并进行加固。7.格式化中毒原因并重装系统
一、360勒索病毒是什么
该勒索病毒以国内知名杀毒软件名称为后缀,属于BeijingCrypt勒索病毒家族,之前出现过的.520的又一新变种,这种勒索病毒的加密算法十分复杂,所有被加密的文件破坏率都已经超过了30%,通过技术手段破解非常困难,中毒后的特征:中了该勒索病毒的文件会在文件名后附加新的扩展名.360,例如原来的xxx.mdf会变成.360,收银系统、ERP、进销存系统、账务系统等各软件打不开,服务器桌面图标全部被篡改,桌面多了!_INFO.txt文档,这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解,解密钥匙需要向黑客支付比特币形式的赎金才能获得。如果不是没有办法解决了,不建议向黑客妥协,即使支付赎金也存在黑客不给解密钥匙的风险
例:中毒后的文件夹是这样的:
编辑搜图
360勒索病毒的勒索信是这样的:
二、如何感染上360勒索病毒的
勒索软件可以通过多种媒介访问计算机。最常见的传递系统之一是网络钓鱼垃圾邮件——通过电子邮件发送给受害者的附件,伪装成他们应该信任的文件。一旦它们被下载并打开,它们就可以接管受害者的计算机,特别是如果它们具有诱骗用户允许管理访问的内置社会工程工具。其他一些更具攻击性的勒索软件形式,例如NotPetya,利用安全漏洞感染计算机,而无需欺骗用户。
一旦恶意软件接管了受害者的计算机,它可能会做几件事,但到目前为止,最常见的操作是加密用户的部分或全部文件。但最重要的是,在该过程结束时,如果没有只有攻击者知道的数学密钥,文件就无法解密。用户会看到一条消息,说明他们的文件现在无法访问,只有在受害者向攻击者发送无法追踪的比特币付款时才会被解密。
在某些形式的恶意软件中,攻击者可能会声称自己是执法机构,因为受害者的计算机上存在盗版软件而关闭它,并要求支付“罚款”,但大多数攻击并不介意这种伪装。还有一种变体,称为泄漏软件,攻击者威胁要公开受害者硬盘上的敏感数据,除非支付赎金。但由于查找和提取此类信息对于攻击者来说是一个非常棘手的命题,因此加密勒索软件是迄今为止最常见的类型。
三、360勒索病毒的解决方案
解决方案1:整机解密
需要黑客给的数字密钥,所以这种方式只能通过向黑客支付赎金,来获取解密程序,这种方式风险很大,并且相当于变相鼓励黑客勒索行为,所以不建议采用这种方式,如果数据十分重要,没有其他方案能找回数据,那么也需要讲究谈判策略,以防黑客加价或者漫天要价,第三方代付本质上是代替客户向黑客买钥匙,解密全程由第三方服务商操作。
解决方案2:通过加密程序漏洞恢复
因为.360的加密程序存在一定的漏洞,所以有希望通过漏洞来恢复数据,但是成功的概率低;虽然成功率不高,但也值得一试,如果有不幸中了.360后缀勒索病毒的客户,可以联系我们试一试。
如有需要可以免费咨询我(PC3000CHINA),欢迎私信留言
四、案例展示
案例一
日期:2022年1月19日
客户名称:苏州工业园区某高科技企业
故障类型:服务器被勒索病毒攻击,业务不能正常运行
恢复时间:8小时
恢复完整度:超过99%
被感染后的文件类型:
编辑搜图
恢复成功后的软件:
五、防护建议
您可以采取许多防御措施来防止勒索软件感染。一般来说,这些步骤当然是一种很好的安全实践,因此遵循它们可以提高您对各种攻击的防御能力:
- 使您的操作系统保持补丁和最新状态 ,以确保您可以利用的漏洞更少。
- 除非您确切知道它是什么以及它的作用,否则不要 安装软件或授予它管理权限。
- 安装防病毒软件,在恶意程序(如勒索软件到达时检测它们,以及将软件列入白名单,以防止未经授权的应用程序首先执行。
- 当然, 经常自动备份您的文件 !这不会阻止恶意软件攻击,但它可以使恶意软件造成的损害变得不那么重要。