鸿萌勒索者病毒预防与中毒后解决方案

前言

近日，鸿萌发现GandCrab勒索病毒家族已升级到5.0版本，利用多种方式重点针对企业网络进行攻击传播，一旦企业信息系统遭遇攻击，全部文件都被加密。被攻击的企业用户若没有及时对重要数据进行备份，会遭受重大损失，网络安全受到严重威胁。作为国内知名的数据安全公司，鸿萌针对勒索者病毒预防和中毒后数据修复有完善、可靠的解决方案。

勒索者病毒全球肆虐

下面是最新的勒索者病毒GANDCRAB V4提示

最新勒索者病毒 GANDCRAB V4 勒索信息

其文字内容如下：

---= GANDCRAB V4 =---

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.

The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser

| 2. Open Tor Browser

| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/69f9a5ecf8d8950d

| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES

* DO NOT CHANGE DATA BELOW

另一款勒索者病毒

一、勒索者病毒预防解决方案

除了配置硬件防火墙和病毒查杀软件外，鸿萌建议用户通过数据容灾备份和服务器虚拟化的手段来有效预防勒索者病毒的侵害。

数据异地容灾

数据除了在本地备份外，还可以备份到同一局域网的NAS甚至远端NAS（推荐NAS网络存储设备，是因为它性价比最好，且安全可靠）。同一局域网内，我们可以通过iSCSi等方式映射到本地进行数据的同步，采用数据块异动技术我们还可以把数据异地备份至远端NAS。设定灵活的回滚备份策略，同时采用先进的数据快照技术，保留多个数据副本，从而达到保护数据不被病毒感染的目的。

服务器虚拟化

服务器虚拟化除了能够避免服务器因各种原因导致的服务器宕机外，还能够有效预防勒索者病毒导致的工作停止或数据丢失。前面我们提到采用iSCSi把NAS映射到本地进行备份数据，鸿萌通过对物理服务器进行多重虚拟，并调用iSCSi的同一个LUN-Target来保持多个虚拟机数据的同步，每个虚拟机之间有很好的隔绝，当一台服务器感染勒索者病毒，我们随时都能启用备用服务器，不影响任何工作。

鸿萌可以为勒索者病毒加密的文件成功解密

二、文件的解密与修复

如果数据已经被病毒感染，鸿萌也可以为您提供金及数据修复服务。多年来，鸿萌在数据安全领域积累了丰富的经验，不仅仅是数据恢复，数据的加解密方面，鸿萌也有着很多的成功案例。近些年勒索者病毒泛滥，鸿萌与多家国内外信息安全企业保持长久合作，加上自己内部团队的研发，我们已经解决了很多已知勒索病毒导致的数据加密问题，并且有着丰富的成功案例。面对变化多端的勒索者病毒，鸿萌有信心能够修复甚至解密被病毒感染的文件，如果您已经遭遇了勒索者病毒，不要慌乱，请您务必及时与我们联系。

数据解密前准备工作：

1、断绝外网，防止解密过程中被二次感染或者交叉感染；

2、准备大容量存储设备，如NAS或硬盘，将被加密的数据做一份完整的备份；

3、对受感染设备的操作系统做一个完整的镜像，保留原始运行环境；

4、解密并验证原设备内的数据，参考受感染时间并与备份的数据对比修改日期变化。

解密过程中注意事项：

1、数据开始解密前，最大限度关闭非关键进程；

2、解密过程中请勿操作其它程序，耐心等待修复完成；

3、关闭网络连接；

4、停止所有对数据的读取与写入的非关键操作；

5、注意检索文件特征，及时辨别因局域网共享导致的交叉感染。

恢复完成后注意事项：

1、恢复完成数据后请查看重要文件是否恢复正常；

2、再好的软硬件防火墙和杀毒软件，也只是被动防御，不能达到完全的安全目的；

3、做好定期的数据备份习惯才是王道。所以请第一时间备份数据至其它存储器上，最好是设定回滚备份策略，才能防患于未然、

4、恢复完成后，经检验数据无误，可重新安装操作系统，并安装安全软件进行全盘查杀。

三、专业建议

通过大量的勒索者病毒解密成功案例分析，鸿萌为您提供如下建议，以减少中毒机率：

1、服务器尽量不要开放外网端口。

2、如果一定要开放远程桌面，请更改默认3389端口，端口号最好设定为5位数。

3、更改默认administrator管理帐户，禁用GUEST来宾帐户。

4、管理员帐户要更改为更复杂的密码，字母大小写，数字及符号组合的密码，不低于10位字符。

5、连接外网的服务器要禁止具有访问及修改内网计算机共享文件夹的权限。

6、服务器务必安装杀毒软件，并且一定要设置退出或更改需要密码，防止黑客进入关闭杀毒软件。

7、一定要做数据备份，最好是异地备份。相关最有性价比方案，请联系鸿萌。

四、鸿萌成功案例

鸿萌勒索者病毒解决方案从投入使用至今，为客户带来了很大的便捷，除了让数据免遭丢失与损坏，还有效地避免了多种勒索者病毒带来的侵害。

如果一些客户不慎中了勒索者病毒，也不要惊慌，请您第一时间联系鸿萌数据恢复公司。我们专业的工程师已经成功解密了无数的勒索者病毒案例，因为客户的涉密需要，我们不便公布客户名称。

在以往的成功案例中，鸿萌的异地容灾与病毒防护方案对以下后缀的病毒勒索具有可靠的防护作用，并且不限于此：

.QNCLD.KRAB .BIP .DBGER .ARROW .ARENA .IQ .CC .crypted .BIG4+ .CRAB .SATAN .JAVA .VYA+ .MAKGR .PANDA .ALCO .CHAK .TRUE .SHUNK .GOTHAM .GRANNY .RESERVE .LIN .YAYA .SEXY .BUNNY

总结

一个完善的容灾机制是应对各种数据问题的终极解决方案，鸿萌呼吁各企业及个人在认识到数据重要性的同时也加强数据备份力度。鸿萌在病毒的预防与解决方面有着丰富的经验，所以，当您的数据遭到勒索者病毒的感染，也请您尽快和我们取得联系，以免错过最佳时机。

让我们一起努力，为您的数据保驾护航！