什么是勒索病毒

勒索病毒并不是某一个病毒，而是一类病毒的统称，主要以邮件、程序、木马、网页挂马的形式进行传播，利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

数据加密特征

AES或RSA算法批量加密上百种后缀文件类型或者应用程序，并且把原来的文件名为:Globeimposter-Alpha865gqz、eking、makop Devoslock bit、_locked、mallox、encrypt 360、halo、Elbie mkp、faust、magi e、fopra、eight Carve babyk 等等后缀，(数据加密后导致无法读取、写入)

360 勒索软件是一种文件加密勒索软件感染，它通过使用“.360”扩展名加密文件来限制对数据（文档、图像、视频）的访问。.360勒索病毒文件的内容在解密之前不可用。

被加密

文件被加密后，在我们电脑、服务器、NAS文件夹中留下勒索信，例如:!INFO.txt、随机9位字符READMEtxt、infotxthow_to_decryp t.hta、FILE RECOVEY txt、HOW TOBACKYOURFILEexe，又或者在我们的文件后面生成联系方式，例如:id[XXXXXXXX-3412].[hpsupport@pr ivatemail.com].ElbieidXXXXXXXX-2939.fau st、id[XXXXXXXX-3327].[myers@cockli]Devos5486728C.mkp

勒索目标

操作系统：windows、Linux等

数据库：mysql、sqlserver、Oracle、DB2、sqlite、Access、sybase、Redies

文档：txt、doc、docx、xls、db、pdf

视频图像：

入侵方式

2017年4月中旬，"永恒之蓝"攻击工具在网络盛传，5月不法分子通过改造此工具制作了WannaCry勒索病毒，之后不断演进变种，攻击平台和新载体不断迭代！

1、利用安全漏洞传播。

攻击者利用弱口令、远程代码执行等网络产品安全漏洞（这些漏洞多是已公开且已发布补丁的漏洞，且未及时修复的），攻击入侵用户内部网络，获取管理员权限，进而主动传播勒索病毒。

2、利用钓鱼邮件传播。

攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中，或将勒索病毒恶意链接写入钓鱼邮件正文中，通过网络钓鱼攻击传播勒索病毒。一旦用户打开或点击，病毒就会自动加载、安装，进而威胁整个网络安全。

3、利用网站挂马传播。

攻击者通过网络攻击网站，以在网站植入恶意代码的方式挂马，或通过主动搭建包含恶意代码的网站，诱导用户访问网站并触发恶意代码，劫持用户当前访问页面至勒索病毒下载链接并执行，进而向用户设备植入勒索病毒。

4、利用移动介质传播。

攻击者通过隐藏U盘、移动硬盘等移动存储介质原有文件，创建与移动存储介质盘符、图标等相同的快捷方式，一旦用户点击，将自动运行勒索病毒，或运行专门用于收集和回传设备信息的木马程序，便于未来实施针对性的勒索。

5、利用软件供应链传播。

攻击者利用软件供应商与软件用户间的信任关系，通过攻击入侵软件供应商相关服务器设备，利用软件供应链分发、更新等机制，在合法软件正常传播、升级等过程中，对合法软件进行劫持或篡改，规避用户网络安全防护机制，传播勒索病毒。

6、利用远程桌面入侵传播。

攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码，进而通过远程桌面协议登录服务器并植入勒索病毒。同时，攻击者一旦成功登录服务器，获得服务器控制权限，可以服务器为攻击跳板，在用户内部网络进一步传播勒索病毒。

事前防范

【防护措施】

政企单位网络安装专业防火墙开启IPS入侵防御防病毒VPN功能

安装企业版专业网络版杀毒软件，保持监控开启，开启主机防勒索服务并定期全盘扫描。

Windows及时更新安装 安全补丁/Linux升级内核，开启防火墙，临时关闭端口，如 445、135、137、138、139、3389 等端口。

强化网络安全意识，陌生链接不点击，陌生文件不要下载，陌生邮件不要打开。

及时更新 web 漏洞补丁，升级 web 组件。

备份。重要的资料一定要异地备份，谨防资料丢失。

政企单位定期开展所有人网络安全知识及管理培训。

【防护建议】

1.多台机器，不要使用相同的账号和口令2.登录口令要有足够的长度和复合性，定期更换登录口令3.重要资料的共享文件件夹应设置访问权限控制，并进入行预定期备件4 .定期检测系统和软件中的安全漏洞，及时打上补丁。5.定期到服务器检测是否存在异常。检查范围包：a)是否有新增加账号b) Guest是否被启用c) Windows系统日志是否存在异常d)杀毒软件是否存在于异常情况6.安装安全防护软件，并确保其正常运行。7.从正规渠道下载安装软件8.对不熟悉的软件，如果已经被杀毒软件删查，不要添加信任继续运行。

事后解决

1、切断网络（切勿断电）

2、打开任务管理器——结束异常活动程序进程、结束任务

3、安装专业杀毒软件进行查杀，防止病毒原题感染其他介质

4、把已加密的重要文件，备份至干净的移动空间上

5、寻找解决方案

5.1可以自行联系黑客(不推荐同时存在风险、支付赎金也是一个错误的决定。)

无法保证.360 勒索软件开发人员会向您发送解密工具和正确的解密密钥。

黑客留言信息：

How to contact us:

The fastest way:

1. Download and install TOR browser by this link: https://www.torproject.org/download/

2. If TOR blocked in your country and you can't access to the link then use any VPN software

3. Run TOR browser and open the site: wtyafjyhwqrgo4a45wdvvwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion/mallox/privateSignin

4. Copy your private ID in the input field. Your Private key: 6147121587EA73472F1861

5. You will see payment information and we can make free test decryption here

5.2 寻找解密密钥

https://lesuobingdu.360.cn/

5.3寻找数据恢复公司

开盘恢复数据：联系客服——故障预判——安排分析工程师——选择服务——数据恢复——用户确认

如果是数据库文件可以进行修复提取，如果是文档只能寻求密钥解密的方式

更多咨询：肖生18573166407