勒索病毒数据如何处理（勒索病毒如何处置）

大三期间有幸在安恒信息实习，实习期间听闻了不少网络病毒，其中有一种病毒名为勒索病毒最为“难缠”，所以今天我想简单和大家分享下勒索病毒这位“大大”。

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

勒索病毒

• 服务器入侵传播：攻击者通过系统或软件漏洞等方法入侵服务器，或通过RDP弱密码暴力破解远程登录服务器
• 利用漏洞自动传播：利用系统自身漏洞进行扩散传播
• 软件供应链攻击传播：在合法软件正常升级过程中，利用软件供应商的漏洞，对合法软件进行劫持和篡改
• 邮件附件传播：在邮件的附件中夹带含有恶意代码的脚本文件
• 利用挂马网页传播：中招用户多为没有安装杀毒软件

• 文档自动备份隔离
• 智能诱捕：智能诱捕技术是捕获勒索病毒的利器，具体方法是：防护软件在计算机系统的各处设置陷阱文件；当有病毒试图加密文件时，就会首先命中设置的陷阱，而暴露其攻击行为。
• 行为追踪技术：对程序行为的多维度智能分析，安全软件可以对可疑的文件操作进行备份或内容检测，一旦发现恶意修改，就立即阻断并恢复文件内容
• 智能文件格式分析技术
• 数据流分析技术：基于机器学习的方法，我们可以在计算机内部的数据流层面，分析出勒索病毒对文档的读/写操作与正常使用文档情况下的读/写操作的区别，这些区别可以用于识别勒索病毒的攻击行为，从而捕获和过滤勒索病毒

1、隔离被感染的服务器/主机

• 物理隔离：断网断电，关闭无线网络、蓝牙连接，禁用网卡和外部存储设备
• 访问控制

2、排查业务系统

3、确定勒索病毒种类，溯源分析

4、恢复数据和业务

错误处置方式

1：使用移动存储设备

2：读写“中招”服务器/主机中的磁盘文件

作者：产品修炼日志 公众号：产品修炼日志