DevicData勒索病毒是最近一段时间非常流行的勒索病毒类型,有很多企业都不幸中招,给生产和经营带来了很大的影响。所以云天数据恢复中心决定就这种类型的勒索病毒,来和各位讲讲当服务器中了DevicData勒索病毒怎么处理。
- 特征
1,文件的扩展名发生变化,且无法正常打开
当用户的服务器被DevicData勒索病毒攻击以后,服务器中所有格式的文件都会变成*.DevicData-X-XXXXXXXX。举例来讲,服务器中原来有一个名称为jiemihuifu.mdf的文件,被加密后就会变成jiemihuifu.mdf.DevicData-X-XXXXXXXX。
- 勒索信
在桌面和多个文件夹当中都会有一个名称叫做Recover files!!!.txt文本文档,打开以后会有用英文写的勒索信息。大致就是告诉你你的服务器被攻击了,你得给他交钱,不交钱就如何如何。
如果你打开服务器后发现上面的两个特征,不用怀疑,你中招了!!!
- 阻隔传播
- 隔离
当发现服务区中了DevicData-D-xxxxxx勒索病毒以后,安全运维人员一定要第一时间将中毒的服务器或者电脑中共享功能关闭,并将局域网和外网的连接断开,如果有必要可以暂时关闭服务器。
- 排查
DevicData-D-xxxxxx勒索病毒具有横向扩展的能力。也就是说它会通过一个切入口来感染用户同一局域网内其它服务器或者PC终端。所以当发现中毒以后应该尽快排查公司或者工厂内有没有其它的电脑被感染,如果发现有其它的PC终端也被感染力,执行上面一步。
- 彻底清除
如果服务器或者电脑中有重要的数据需要恢复,云天数据恢复中心建议用户先不要对中毒的服务器做任何改动,包括修改文件名称、重装系统等。等数据恢复好了以后,全盘格式化,重装系统,重新部署软件。虽然重装系统比较繁琐,但是却可以彻底清除勒索病毒,避免有清除不干净,造成二次感染的风险。