恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案
以下内容包含普通电脑解决方案、云服务器解决方案、以及预防方法、文件日常免费自动备份方案
半夜被运维值班人员的紧急电话惊醒,阿里云ECS服务器业务停止了,迷迷糊糊打开手机远程桌面,无法连接。无奈打开电脑,通过阿里云在线控制面板远程进入服务器,本以为是DDOS攻击或者死机。一个红色大框映入眼帘,瞬间毫无睡意。
第一反应是,被黑客入侵了?一身冷汗,开着安全狗,改了远程桌面端口号,还设置了远程桌面访问白名单,怎么还会被黑,而且好像还是进了服务器。因为,业务系统文件有本地备份,第一反应就是感觉备份出数据库,然后重装系统,但是所有的文件都不能复制,很多程序都无法运行。因为之前遇到过类似的office加密病毒,它是不可逆算法,因此几乎没有破解的可能性,仔细一看病毒说明是加密所有文件,还有倒计时删除,心想完蛋了,一看赎金300美元,还好赎金不是太离谱最不济1800元买个教训。但技术控的好奇心不是钱的问题,先用阿里云快照备份磁盘。然后开始了尝试恢复,先给阿里云半夜打了客服电话(给马云赞一个),客服说之前有遇到过,无解,给发了个防护措施的邮件。不甘心,脑子蹦出的第一想法是尝试用干净的系统挂载中毒磁盘,复制出数据库。先不卖关子,直接告诉大家结果,经测试发现,该病毒貌似不会加密所有的文件,但是在中毒的系统下是没法复制移动文件的,因此将中毒盘挂载到纯净系统下,能拷贝出文件,有很大的概率能挽回文件并且没被加密。
普通电脑恢复方法:
将中毒的硬盘,挂载(安装到另外没中毒的电脑上)到纯净电脑上(一定不要用重要的电脑!!!避免二次中毒二次损失),在BIOS里将中毒盘设置成从盘(避免当引导磁盘二次中毒),开机后点击右键选择“打开”(切记不要双击打开磁盘和文件夹,避免二次中毒,区别在于右键菜单打开不会执行脚本),将数据拷贝到干净的硬盘上,关机拔掉中毒硬盘,再开机进行文件测试和备份工作。如果还不明白,找个明白人看看本文,或者具体步骤关注凌睿软件微信公众号wjp20052006,真人在线问答
普通电脑:
百度云盘有自动备份功能,你造吗?详情见
http://jingyan.baidu.com/article/9f63fb91d24bb6c8400f0ea7.html
阿里云ecs的恢复具体步骤:
1、关机对要恢复的磁盘进行快照
2、创建新的ecs实例,如果仅是想恢复文件,可以选择按时付费模式,恢复完删除即可。重点是在创建实例增加数据盘时,点击用快照创建磁盘,选择刚才创建的快照。
3、开机运行,打开中毒盘时,尽量点击右键选择打开,这样和直接双击打开的区别在于不执行脚本,避免二次中毒,找到要备份的文件复制到干净的系统盘,复制完成后卸载病毒盘(防止二次中毒),再用百度云等云盘备份下来,即可。
防范措施:
近期爆出onion以及wallet等后缀的勒索加密事件,出现此情况通常与Windows操作系统的端口、漏洞、补丁更新不及时有关,勒索软件是一种Trojan木马,目前无法针对此类情况的解密数据,我们强烈提醒并建议您:
1.请检查服务器的账号密码,如果密码简单,请立即修改为强口令密码并定期更新密码;
2.不要将高危的服务端口开放到外网,例如:3389、445、139端口,仅开放必要的业务服务端口,如果存在此类情况,您可以配置安全组策略屏蔽高危端口;
3.如果您重新购买使用新的ECS,强烈建议做好快照,然后安装杀毒软件,例如:企业版卡巴斯基、诺顿等;
4.由于近期发生NSA事件,攻击者可能利用windows高危漏洞入侵,请确保安装好最新windows补丁(例如:MS17-010补丁 https://technet.microsoft.com/zh-cn/library/security/MS17-010),具体参见:https://help.aliyun.com/knowledge_detail/52638.html
1)Windows Update更新补丁方式
点击“开始”->“控制面板”->“Windows Update” ,点击“检查更新”
检查更新:
安装更新:
检查安装结果:
点击“查看更新历史记录”,检查安装的补丁:
重启生效
安装完成后,补丁安装状态为“挂起”,重启后生效:
最好的防范策略还是有备无患,免费实用的日常文件备份方案:
普通电脑:
百度云盘有自动备份功能,你造吗?详情见
http://jingyan.baidu.com/article/9f63fb91d24bb6c8400f0ea7.html
服务器自动备份:
文件备份:Filegee,一个可以设置策略自动备份到百度云盘和FTP的利器,具体步骤关注凌睿软件微信公众号wjp20052006
数据库定时备份:
好备份+云备份,一个可以设置策略自动备份数据库到百度云盘和FTP的利器,具体步骤关注凌睿软件微信公众号wjp20052006
sqlserver数据库实时热备份:自行百度sqlserver订阅和镜像,
更多最新安全解决方案资讯请关注凌睿软件微信公众号wjp20052006
恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案相关推荐
- 勒索病毒(永恒之蓝)
WannaCry WannaCry(又叫Wanna Decryptor),一种"蠕虫式"的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security A ...
- 继勒索病毒“永恒之蓝”445端口被封之后,在公网实现smb文件共享
背景 在最近项目中需要使用到windows smb文件共享,并且该项目过程不允许重启系统,其使用到的TCP连接端口为445,该项目测试环境一直处在内部网络,所以一开始没发现什么问题,项目进展到一定程度 ...
- AD域内禁用所有计算机445端口,勒索病毒“永恒之蓝”变种再来,该如何关闭445端口(收藏)(示例代码)...
Windows系统要及时接收查看系统信息,根据提示安装补丁,才能确保系统的安全性. 不同系统的补丁安装地址↓(在Windows系统中打开浏览器,复制相应系统链接粘贴,按下Enter回车即可)如果还没安 ...
- 服务器中了勒索病毒怎么办?服务器中了勒索病毒怎么处理解决?
服务器中了勒索病毒怎么办?服务器中了勒索病毒怎么处理解决? 前言:勒索病毒是一种新型的计算机病毒,并且它有多种后缀形式,像.mallox,.devos,.elbie,.eking,.eight,.86 ...
- 服务器中了勒索病毒怎么办,服务器中了勒索病毒怎么解决,服务器中了勒索病毒怎么处理
服务器中了勒索病毒怎么办,服务器中了勒索病毒怎么解决,服务器中了勒索病毒怎么处理 服务器中了勒索病毒是一个严重的问题,因为它会影响到服务器上托管的网站和应用程序,并可能导致数据丢失或泄露.勒索病毒通常 ...
- php中嵌入pdf文件,使用Base64在PHP中附加PDF文件(Appending PDF Files in PHP with Base64)
使用Base64在PHP中附加PDF文件(Appending PDF Files in PHP with Base64) 我有一系列我想合并在一起的base64 PDF文件. 目前我正在使用file_ ...
- 什么是勒索病毒,勒索病毒简介,电脑中病毒了怎么修复
什么是勒索病毒: 勒索病毒是一种恶意软件,它的作用是加密或者锁定用户计算机的文件,并要求用户支付赎金以恢复访问权.勒索病毒可以通过某些网站.垃圾邮件.恶意附件和软件.破解软件和广告来传播. 勒索病毒的 ...
- 如何删除勒索病毒,勒索病毒威胁的运作方式,如何恢复勒索病毒加密文件
勒索软件可以作为恶意软件,阻止受害者访问计算机并要求支付赎金.赎金和官方理由,为什么受害者应该支付,取决于病毒的类型.有些版本声称应该付款以避免惩罚政府机构(通常是FBI或当地机构),其他人则告知这是 ...
- SQL数据库中勒索病毒检测工具 服务器中勒索病毒检测工具
为了让客户更加了解SQL数据库被勒索病毒加密后的损坏比列,我们开发了此款工具,支持MDF NDF 文件和 非压缩BAK备份文件的损坏率检测. 对于 丢失占比在0-50%的 一般都可以恢复,大于50%的 ...
最新文章
- 使用flex 做关键词、正则表达式过滤
- 你这辈子可能都不需要看《计算机程序设计艺术》了!
- taskAffinity(Activity默认Application,Application默认包名,Task默认根Activity) singleInstance放入新栈
- CRM呼叫中心里interaction record的设计逻辑
- 影像拼接(3种方法)
- 弹出层之3:JQuery.tipswindow
- 现代通信原理A.1-a:仿真确定信号波形与频谱(Matlab版)
- Zigbee 协议栈网络管理
- 高通驱动程序开发参考(一)
- 斯芬克怎么样 谁说我没有担心
- win10 卸载软件 清除注册表 Revo Uninstaller Pro
- 墒情监测站智慧农研高标准农田设施
- 哈夫曼树【北邮机试】
- [前端系列]vue3修改模板变量间隔符
- 医咖会R语言学习笔记——如何安装工具包
- vmware 和 centos7 软件安装包 网盘链接(永久有效)
- 知新温故,从知识图谱到图数据库
- 无法访问网上邻居之终极解决办法
- 挖潜无极限---数据挖掘技术与应用热点扫描
- 冷门绝技,让你的Origin坐标轴“断掉”