勒索病毒一问一答
问:1 勒索病毒是否有传播性?
答:1 理论上病毒代码可以带有任意形式的恶意功能,因此无法保证特定一款勒索病毒不具有传播性。但就目前实际捕获到的勒索病毒来看,更多的勒索病毒自身并不具备自主传播的特 征(WannaCry 是个例外)。然而这并不代表其不会影响到局域网内的其他机器,受影响的机 器会有如下几类情形。
1. 和被感染机器在同一内网,并与被感染机器共享部分文件夹。由于被感染机器能直接访 问到该文件夹,如果没有设置适当的权限控制,病毒就能将该共享文件夹加密。 自查是否只有共享被加密:win+r 输入 cmd,然后输入 net share 回车。即可看到当前 设备共享了哪些文件夹。
对于自行添加的共享文件夹,可以调整权限,如果没有使用需求的,可以直接关闭共享。
2.黑客利用被感染机器作为跳板,尝试通过扫描同网段端口、查看远程桌面登录记录 、Nday漏洞攻击等方式攻击内网其他机器。
问:2 文件已被加密,但扫不出病毒?
答:2 勒索病毒受害者经常在发现中毒后第一时间会使用杀毒软件进行查杀,但杀毒软件却没有查杀到可疑文件,这种现象很常见,也有很多种可能情况:大部分情况下,勒索病毒在加密完文件后便会自删除,留下被加密的文件,而被加密文件不带毒。黑客将勒索提示信息写入到开机启动项,用户关机重启后会弹出勒索窗口,那是黑客留下的勒索提示信息文档,用来指导用户如何联系他们支付赎金恢复文件。一般只是文档,本身并不具备加密功能,也不是病毒。本机并非被勒索病毒直接感染机器,仅因和中毒机器进行了文件共享导致共享文件夹被加密。这种勒索病毒程序是在其它设备中的,当然计算机中没有病毒。
问:3 如何判断系统是否还存在勒索病毒?
答:3 部分中招用户在文件恢复后不确定系统是否安全,想知道如何处理才能尽可能保证此次攻击事件遗留问题都被解决。针对此问题我们给出以下处理流程。在断网处理后的感染设备上新建文档,看文件是否会被加密。若被加密,说明勒索病毒仍在运行,可使用最新带离线病毒包的360杀毒进行查杀,如果360杀毒无法正常安装,可尝试在winpe下进行查杀。在完成步骤一之后,确认没有存在的病毒存在,建议连网使用360安全卫士对该设备进行彻底查杀。注意需要清理杀毒软件的信任区。查杀完毕后对系统常规项进行检查,具体项目请参考安全加固→定期排查项。
其它常见问题
问:1 不知道为什么就中招了,想知道具体中毒原因
答:1 下面总结几个常见的中毒原因:
开启了远程桌面 ,设置的密码太简单、或使用初始密码,被登录投毒。太简单、或使用初始密码,被登录投毒。
下载了激活工具或者破解软件导致中毒文件被加密。
设置了共享文件夹,局域网内有其它机器中招,导致共享文件夹的数据被其它机器的病毒加密。
运行了钓鱼邮件中的附件导致中毒文件被加密。
系统中存在漏洞导致中毒文件被加密。
U盘蠕虫导致文件被加密。
其它弱口令攻击,例如mysql,tomcat等。
对于不确定什么原因导致文件被加密的,可以提交反勒索服务,联系我们的工作人员协助您来排查具体中招原因。具体操作流程可参考360反勒索服务。
问:2 勒索病毒是否会在内网中横向转播?
答:2 大部分黑客在投毒之前会先尝试拿到内网中更多机器的权限,手段不限,常见手段如下:
弱口令攻击
包括远程桌面弱口令、数据库弱口令、tomcat弱口令、NAS弱口令、共享文件夹弱口令等等。
漏洞攻击
如永恒之蓝相关漏洞、java漏洞、weblogic漏洞、泛微OA漏洞等等。
非主动传播
中毒机器所在内网种存在部分机器设置了共享文件夹,并且未设置访问权限,导致中毒机器能直接访问到该机器的文件,从而导致文件被加密。
因此,内网中中毒机器应及时断网,找到中毒原因后再做处理。同时应立即修改内网中所有机器的密码,因为黑客登录用户机器后都会尝试收集内网中其他机器的口令。
问:3 插入U盘文件被加密了,那文件还能备份吗?
答:3 插入U盘,U盘中的文件被加密了,说明勒索病毒还在系统中运行。需要结束掉该勒索病毒。被加密的文件本身不带病毒。只需防范好U盘蠕虫的运行,就可以放心备份到其他地方。
问:4 中毒系统需要重装吗?
答:4 建议找到具体中招原因后再重装。在过往的案例中,存在因病毒入侵途径未被找到并及时封堵所导致的多次中招案例,且存在付款后再次被加密案例。
问:5 我安装了NSAtools为什么还是中了勒索病毒?
答:5 NSAtools只是一个针对“WANNACRY勒索病毒的防护工具”,并非是针对所有勒索病毒的免疫工具。勒索病毒的传播渠道很多,安装了NSAtools只是关闭了一条勒索病毒的传播渠道。
360安全卫士功能
1:360反勒索服务
2:360勒索病毒搜索引擎
3:360解密大师
4:360文档卫士
5:系统安全防护
6:Web服务攻击防护
7:漏洞防护
8:挂马网站防护
9:钓鱼邮件防护能力
10:U盘蠕虫防护
11:综合防护能力
12:内核防护能力
如有疑问,可通过QQ:613669588 或者VX:18929458258 咨询
答:1 理论上病毒代码可以带有任意形式的恶意功能,因此无法保证特定一款勒索病毒不具有传播性。但就目前实际捕获到的勒索病毒来看,更多的勒索病毒自身并不具备自主传播的特 征(WannaCry 是个例外)。然而这并不代表其不会影响到局域网内的其他机器,受影响的机 器会有如下几类情形。
1. 和被感染机器在同一内网,并与被感染机器共享部分文件夹。由于被感染机器能直接访 问到该文件夹,如果没有设置适当的权限控制,病毒就能将该共享文件夹加密。 自查是否只有共享被加密:win+r 输入 cmd,然后输入 net share 回车。即可看到当前 设备共享了哪些文件夹。
对于自行添加的共享文件夹,可以调整权限,如果没有使用需求的,可以直接关闭共享。
2.黑客利用被感染机器作为跳板,尝试通过扫描同网段端口、查看远程桌面登录记录 、Nday漏洞攻击等方式攻击内网其他机器。
问:2 文件已被加密,但扫不出病毒?
答:2 勒索病毒受害者经常在发现中毒后第一时间会使用杀毒软件进行查杀,但杀毒软件却没有查杀到可疑文件,这种现象很常见,也有很多种可能情况:大部分情况下,勒索病毒在加密完文件后便会自删除,留下被加密的文件,而被加密文件不带毒。黑客将勒索提示信息写入到开机启动项,用户关机重启后会弹出勒索窗口,那是黑客留下的勒索提示信息文档,用来指导用户如何联系他们支付赎金恢复文件。一般只是文档,本身并不具备加密功能,也不是病毒。本机并非被勒索病毒直接感染机器,仅因和中毒机器进行了文件共享导致共享文件夹被加密。这种勒索病毒程序是在其它设备中的,当然计算机中没有病毒。
问:3 如何判断系统是否还存在勒索病毒?
答:3 部分中招用户在文件恢复后不确定系统是否安全,想知道如何处理才能尽可能保证此次攻击事件遗留问题都被解决。针对此问题我们给出以下处理流程。在断网处理后的感染设备上新建文档,看文件是否会被加密。若被加密,说明勒索病毒仍在运行,可使用最新带离线病毒包的360杀毒进行查杀,如果360杀毒无法正常安装,可尝试在winpe下进行查杀。在完成步骤一之后,确认没有存在的病毒存在,建议连网使用360安全卫士对该设备进行彻底查杀。注意需要清理杀毒软件的信任区。查杀完毕后对系统常规项进行检查,具体项目请参考安全加固→定期排查项。
其它常见问题
问:1 不知道为什么就中招了,想知道具体中毒原因
答:1 下面总结几个常见的中毒原因:
开启了远程桌面 ,设置的密码太简单、或使用初始密码,被登录投毒。太简单、或使用初始密码,被登录投毒。
下载了激活工具或者破解软件导致中毒文件被加密。
设置了共享文件夹,局域网内有其它机器中招,导致共享文件夹的数据被其它机器的病毒加密。
运行了钓鱼邮件中的附件导致中毒文件被加密。
系统中存在漏洞导致中毒文件被加密。
U盘蠕虫导致文件被加密。
其它弱口令攻击,例如mysql,tomcat等。
对于不确定什么原因导致文件被加密的,可以提交反勒索服务,联系我们的工作人员协助您来排查具体中招原因。具体操作流程可参考360反勒索服务。
问:2 勒索病毒是否会在内网中横向转播?
答:2 大部分黑客在投毒之前会先尝试拿到内网中更多机器的权限,手段不限,常见手段如下:
弱口令攻击
包括远程桌面弱口令、数据库弱口令、tomcat弱口令、NAS弱口令、共享文件夹弱口令等等。
漏洞攻击
如永恒之蓝相关漏洞、java漏洞、weblogic漏洞、泛微OA漏洞等等。
非主动传播
中毒机器所在内网种存在部分机器设置了共享文件夹,并且未设置访问权限,导致中毒机器能直接访问到该机器的文件,从而导致文件被加密。
因此,内网中中毒机器应及时断网,找到中毒原因后再做处理。同时应立即修改内网中所有机器的密码,因为黑客登录用户机器后都会尝试收集内网中其他机器的口令。
问:3 插入U盘文件被加密了,那文件还能备份吗?
答:3 插入U盘,U盘中的文件被加密了,说明勒索病毒还在系统中运行。需要结束掉该勒索病毒。被加密的文件本身不带病毒。只需防范好U盘蠕虫的运行,就可以放心备份到其他地方。
问:4 中毒系统需要重装吗?
答:4 建议找到具体中招原因后再重装。在过往的案例中,存在因病毒入侵途径未被找到并及时封堵所导致的多次中招案例,且存在付款后再次被加密案例。
问:5 我安装了NSAtools为什么还是中了勒索病毒?
答:5 NSAtools只是一个针对“WANNACRY勒索病毒的防护工具”,并非是针对所有勒索病毒的免疫工具。勒索病毒的传播渠道很多,安装了NSAtools只是关闭了一条勒索病毒的传播渠道。
360安全卫士功能
1:360反勒索服务
2:360勒索病毒搜索引擎
3:360解密大师
4:360文档卫士
5:系统安全防护
6:Web服务攻击防护
7:漏洞防护
8:挂马网站防护
9:钓鱼邮件防护能力
10:U盘蠕虫防护
11:综合防护能力
12:内核防护能力
如有疑问,可通过QQ:613669588 或者VX:18929458258 咨询
#声明#
产品文章发布随时更新,详情请咨询售前客服。
点评(共 条)
