0
点赞
收藏
分享

微信扫一扫

【数据恢复】.360勒索病毒已传播数月-BeijingCrypt勒索病毒家族

诗远 2022-03-30 阅读 74
网络安全

前言:案例简介

2022年2月,国内某企业反馈其内部服务器上的所有文件都被加密.360后缀无法打开,这也导致了部分业务的瘫痪。据了解,加密文件的拓展名为“.360”。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为BeijingCrypt勒索病毒。该勒索病毒主要通过爆破远程桌面,入侵后进行手动投毒执行加密程序。同时受害者机器上被发现大量工具,从工具看该勒索病毒传播还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。如果您同样遭遇了此勒索病毒的感染,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。

下面我们来了解看看这个.360后缀勒索病毒。


一、什么是.360勒索病毒?

我们发现,.360 是一个勒索病毒类型程序的名称。当我们在我们的测试系统上启动一个样本时,它会加密文件并在文件名后附加“ .360 ”扩展名。例如,最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.360 ”,“ 2.jpg ”显示为“ 2.jpg.360 ”,依此类推。加密过程完成后,此勒索软件会在桌面上创建一个勒索记录 - “ !_INFO.txt ”。

不幸的是,如果存储您宝贵信息的文件被锁定并使用“.360”扩展名重命名,您应该知道您的 PC 感染了一种 BeijingCrypt 勒索病毒。

BeijingCrypt 勒索病毒家族背后的攻击者使用“ .360 ”扩展名来迷惑受害者,用国内知名安全软件厂商作为加密后缀名。此勒索软件如何重命名文件的示例:它将“ 1.jpg ”更改为“ 1.jpg.360”,“ 2.jpg ”更改为“ 2.jpg .360“。所有数据和文件被加密后均无法正常打开。

万一不幸感染了这个勒索病毒,您可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。

.360勒索病毒是如何传播感染的?

经过分析中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵。

远程桌面口令爆破

关闭远程桌面,或者修改默认用户administrator。

数据库弱口令攻击

检查数据库的sa用户的密码复杂度。


二、中了.360后缀勒索病毒文件怎么恢复?

此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)免费咨询获取数据恢复的相关帮助。


三、恢复案例介绍:

1. 被加密数据情况

一台公司服务器,需要恢复的数据20万个+,主要恢复账套数据库文件。

2. 数据恢复完成情况

数据完成恢复,20万个文件,全部100%恢复。恢复完成的文件均可以正常打开及使用。

预防勒索病毒-日常防护建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

1、安全规划 网络架构

业务、数据、服务分离,不同部门与区域之间通过 VLAN 和子网分 离,减少因为单点沦陷造成大范围的网络受到攻击。

2、内外网隔离

合理设置 DMZ 区域,对外提供服务的设备要做严格管控。减少企业 被外部攻击的暴露面。对外暴露机器可通过虚拟化部署,定期做快 照备份等方式减少损失。

3、安全设备部署

在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。

4、权限控制

包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。

5、数据备份保护

对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。尽量做到多方式备份

举报

相关推荐

0 条评论