ESAP达摩院 思想有多远,我们就能走多远

ESAP中级教程|与勒索病毒战斗的那些事


背景

最近新一轮勒索病毒爆发了,不少筒子中招,甚至包括一些我的客户,本文将讲授一些防范方法和技巧。

什么是勒索病毒

勒索病毒其实是一种黑客入侵行为,黑客通过种木马,暴力破解口令等手段入侵受害人服务器,然后手工或自动运行一些加密软件,通常会遍历电脑里的文件,甚至包括其他电脑共享文件,对文件进行可逆加密,然后留下一个联系邮箱,索要若干XX币。

入侵,加密,勒索,洗钱,这个有组织的黑产链比我们想象的要深。

中了勒索病毒怎么办

服务器中了勒索病毒后,通常所有文件会被加上后缀,例如.wannaxxx,这些文件或程序将不能再使用,通常有几种办法恢复:

  1. 不怂,服务器断网,将文件拷出,找当地或淘宝上的一些数据公司恢复,按照恢复难度不同,支付几千到几万不等的费用。

  2. 认怂,联系黑客邮箱,购买XX币,按目前的汇率通常花费几万,支付给黑客,黑客提供解密工具,然后解密。

  3. 待机,等个半年,黑客挣够了,就会放出主密钥,也可能呢,360等杀毒机构也会提供一些解密工具。

总的来说,村长是不推荐认怂的,毕竟助长了黑客气焰,黑客可能卷土重来。

一般来说,服务器最重要的是数据库文件,例如mssql的.mdf文件,可以考虑先找本地公司还原修复一下。

如何防范勒索

防范勒索才是本文的重心,接下来,村长结合一些实际经验提供一些防范措施。

做好本地备份

一般的系统都有定期备份,但是勒索病毒会把备份文件也加密,不过,通常黑客是不会对C盘/windows目录内的文件进行加密的,不然操作系统也启动不了,他们就没法勒索了,针对这个特点,我们可以做一些隐蔽的备份,以NX系统为例,村长会设置下列备份计划

这样做的好处除了混入系统目录,还伪装成exe文件,因为有部分勒索病毒是不会加密exe文件的。

做好远程备份

由于黑客大概率是通过3389端口远程入侵的,所以我们的远程备份最好不要通过本地写远程的方式,而是采用远程拉本地的方式,防止黑客对远程目录一网打尽。

当然如果实在要用百度云等本地写远程备份,也不是不可以,只是一定要设置为增量同步,同时要设置百度云锁屏密码,切记切记。

如果是远程拉本地的方式,可以设置本地文件目录为只读共享,然后远程服务器通过Second Copy等软件定期拉文件并加密打包存到远程目录。

关3389,1433端口

有些企业为了能远程管理内网服务器,会把服务器3389映射到外网,这同样给了黑客可乘之机。

如果实在要开放3389,请一定要装类似安全狗之类的防护软件,防止黑客无限暴力破解,当然最好还是关闭3389,1433等端口外网映射。

除了teamview,其实我们也可以自建FRP穿透来远程控制服务器,下面是一种结合esap的动态FRP解决方案。

首先把frpc装到esap/frp目录下,配置frpc.ini,加上

[ctlmyserver]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port = 12345

这样就可以通过FRP主机直接穿透到内网3389,而不需要路由器上映射到外网。

然后在esap查询中设置两个查询

这样就可以通过手机来随时按需启停FRP,不用担心黑客一直扫端口了。

小结

  • 做好数据库备份和异地备份

  • 关闭3389等端口,或按需启用。

2019-10-22


近似文章