2020年3月12日,一客戶發現集團 22 臺服務器中毒,服務器內所有文檔均被添加 .ReadInstructions 後綴,文件被加密,服務器無法使用。
被加密的部分客戶文件
這種後綴勒索病毒屬於:MedusaLocker家族。服務器內留下名為Recovery_Instructions 的網頁文件,文件內容如下:
Your personal ID:
ID內容略去
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
ALL YOUR IMPORTANT FILES HAVE BEEN ENCRYPTED!
YOUR FILES ARE SAFE! JUST MODIFIED ONLY. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMENANTLY DESTROY YOUR FILE.
DO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES.
NO SOFTWARE AVAILABLE ON INTERNET CAN HELP YOU. WE ONLY HAVE
SOLUTION TO YOUR PROBLEM.
WE GATHERED HIGHLY CONFIDENTIAL/PERSORNAL DATA. THESE DATA
ARE CURRENTLY STORED ON A PRIVATE SERVER. THIS SERVER WILL BE
IMMEDIATELY DESTROYED AFTER YOUR PAYMENT. WE ONLY SEEK MONEY
AND DO NOT WANT TO DAMAGE YOUR REPUTATION. IF YOU DECIDE TO
NOT PAY, WE WILL RELEASE THIS DATA TO PUBLIC OR RE-SELLER.
YOU WILL CAN SEND US 2-3 NON-IMPORTANT FILES AND WE WILL
DECRYPT IT FOR FREE TO PROVE WE ARE ABLE TO GIVE YOUR FILES
BACK.
CONTACT US FOR PRICE (BITCOIN) AND GET DECRYPTION SOFTWARE.
MAKE CONTACT AS SOON AS POSSIBLE. YOUR DECRYPTION KEY IS ONLY STORED
TEMPORARLY. IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
文件裡面威脅意味濃厚,態度特別囂張。鴻萌建議客戶加強服務器安全防護,可以從以下幾個方面入手:
1.多臺機器,不要使用相同的賬號和口令
2.登錄口令要有足夠的長度和複雜性,並定期更換登錄口令
3.重要資料的共享文件夾應設置訪問權限控制,並進行定期備份
4.定期檢測系統和軟件中的安全漏洞,及時打上補丁。
5.定期到服務器檢查是否存在異常。查看範圍包括:
a)是否有新增賬戶
b) Guest是否被啟用
c) Windows系統日誌是否存在異常
d)殺毒軟件是否存在異常攔截情況
6.安裝安全防護軟件,並確保其正常運行。
7.從正規渠道下載安裝軟件。
8.對不熟悉的軟件,如果已經被殺毒軟件攔截查殺,不要添加信任繼續運行。
如果已經中毒,也不要慌亂。針對勒索者病毒的猖獗,鴻萌有專業的防勒索解決方案。客戶採用我們的方案之後,如果中了勒索者病毒,數據被加密,那麼您只需要一鍵就可以恢復全部被加密數據,還有比這更爽的方案麼?
鴻萌隨時願為您的數據安全保駕護航。
鴻萌自2003年以來,始終專注於數據安全業務。從企業級存儲產品、硬件防火牆、超融合、虛擬化、各種數據庫到專業級數據備份、數據恢復、數據加密等方面,為客戶提供一條龍的專業化數據安全服務。
