随着网络技术的不断发展,企业的生产运营效率得到了极大提升,越来越多的企业开始利用网络开展各项工作业务,企业的网络数据安全问题,成为大家关心的主要话题。近期,云天数据恢复中心接到多家企业的求助,企业的计算机服务器中了halo勒索病毒,导致企业计算机服务器系统瘫痪,无法正常工作。Halo勒索病毒属于Beijingcrypt勒索家族,该家族具有较强的攻击与加密能力,不仅有halo勒索病毒后缀,还有360后缀勒索病毒。经过云天数据恢复中心对halo勒索病毒的解密,为大家整理了以下有关halo勒索病毒的应对流程。
- 断网断连接,当计算机服务器被halo勒索病毒攻击后,我们应该先断开网络连接,断开与中毒计算机服务器之间的所有连接设备,以防止halo勒索病毒在内网下的横向传播,产生新的加密。
- 终止加密程序,我们在对中毒计算机进行任何操作前,应该先结束掉加密程序,以防止新的加密产生,进入到计算机的任务管理器,将其中的陌生运行软件或运行内存较大的软件结束掉,防止在操作过程中产生新的加密。
- 拷贝中毒文件,我们需要对待解密文件进行拷贝复制一份出来,并做好物理隔离,以防止在解密恢复过程中意外的产生,减少对源文件的损坏。在解密恢复完成之前,不要对中毒计算机服务器进行任何操作,包括重装系统,尝试自行恢复等操作。
- 解密中毒文件。Halo勒索病毒采用了新升级后的RSA与AES加密文件,一旦被攻击,非专业技术人员很难自行解密恢复。针对halo勒索病毒有两种解密方式,一种是整机解密,整机解密可以对中毒计算机中的所有文件进行解密,包括数据库文件和办公格式类文档文件。另一种是数据库破解,专业的数据恢复机构针对市面上的各种后缀勒索病毒解密数据恢复有着丰富的解密经验,数据恢复完整度高,结合不同企业的加密状况,制定合理的解密方案计划。
- 系统恢复操作,当中毒文件解密恢复完成后,我们需要对中毒计算机服务器进行全盘扫杀格式化系统,重装系统,部署企业应用软件,确保系统内的加密程序全部清除,然后导入解密恢复好的数据即可。
- 安装防护软件,为了防止halo勒索病毒的再次攻击,我们需要对企业计算机服务器安装可靠的防勒索软件,定期系统查杀,修补漏洞,定期维护系统的弱口令密码,以防止勒索病毒的二次攻击。
总之,网络勒索病毒无处不在,在解密恢复工作完成后,后期的运维工作少不了,减少端口共享与映射操作,定期备份系统文件,并做好物理隔离,提高全员的网络安全意识,针对陌生钓鱼链接与软件,做到不点击不下载,为企业计算机服务器构建良好的网络环境。