恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案

以下内容包含普通电脑解决方案、云服务器解决方案、以及预防方法、文件日常免费自动备份方案

    半夜被运维值班人员的紧急电话惊醒,阿里云ECS服务器业务停止了,迷迷糊糊打开手机远程桌面,无法连接。无奈打开电脑,通过阿里云在线控制面板远程进入服务器,本以为是DDOS攻击或者死机。一个红色大框映入眼帘,瞬间毫无睡意。

恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案_第1张图片

       第一反应是,被黑客入侵了?一身冷汗,开着安全狗,改了远程桌面端口号,还设置了远程桌面访问白名单,怎么还会被黑,而且好像还是进了服务器。因为,业务系统文件有本地备份,第一反应就是感觉备份出数据库,然后重装系统,但是所有的文件都不能复制,很多程序都无法运行。因为之前遇到过类似的office加密病毒,它是不可逆算法,因此几乎没有破解的可能性,仔细一看病毒说明是加密所有文件,还有倒计时删除,心想完蛋了,一看赎金300美元,还好赎金不是太离谱最不济1800元买个教训。但技术控的好奇心不是钱的问题,先用阿里云快照备份磁盘。然后开始了尝试恢复,先给阿里云半夜打了客服电话(给马云赞一个),客服说之前有遇到过,无解,给发了个防护措施的邮件。不甘心,脑子蹦出的第一想法是尝试用干净的系统挂载中毒磁盘,复制出数据库。先不卖关子,直接告诉大家结果,经测试发现,该病毒貌似不会加密所有的文件,但是在中毒的系统下是没法复制移动文件的,因此将中毒盘挂载到纯净系统下,能拷贝出文件,有很大的概率能挽回文件并且没被加密。


普通电脑恢复方法:

将中毒的硬盘,挂载(安装到另外没中毒的电脑上)到纯净电脑上(一定不要用重要的电脑!!!避免二次中毒二次损失),在BIOS里将中毒盘设置成从盘(避免当引导磁盘二次中毒),开机后点击右键选择“打开”(切记不要双击打开磁盘和文件夹,避免二次中毒,区别在于右键菜单打开不会执行脚本),将数据拷贝到干净的硬盘上,关机拔掉中毒硬盘,再开机进行文件测试和备份工作。如果还不明白,找个明白人看看本文,或者具体步骤关注凌睿软件微信公众号wjp20052006,真人在线问答


普通电脑:


百度云盘有自动备份功能,你造吗?详情见


http://jingyan.baidu.com/article/9f63fb91d24bb6c8400f0ea7.html



阿里云ecs的恢复具体步骤:

1、关机对要恢复的磁盘进行快照

恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案_第2张图片

2、创建新的ecs实例,如果仅是想恢复文件,可以选择按时付费模式,恢复完删除即可。重点是在创建实例增加数据盘时,点击用快照创建磁盘,选择刚才创建的快照。

恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案_第3张图片

3、开机运行,打开中毒盘时,尽量点击右键选择打开,这样和直接双击打开的区别在于不执行脚本,避免二次中毒,找到要备份的文件复制到干净的系统盘,复制完成后卸载病毒盘(防止二次中毒),再用百度云等云盘备份下来,即可。


防范措施:

近期爆出onion以及wallet等后缀的勒索加密事件,出现此情况通常与Windows操作系统的端口、漏洞、补丁更新不及时有关,勒索软件是一种Trojan木马,目前无法针对此类情况的解密数据,我们强烈提醒并建议您:
1.请检查服务器的账号密码,如果密码简单,请立即修改为强口令密码并定期更新密码;
2.不要将高危的服务端口开放到外网,例如:3389、445、139端口,仅开放必要的业务服务端口,如果存在此类情况,您可以配置安全组策略屏蔽高危端口;
3.如果您重新购买使用新的ECS,强烈建议做好快照,然后安装杀毒软件,例如:企业版卡巴斯基、诺顿等;
4.由于近期发生NSA事件,攻击者可能利用windows高危漏洞入侵,请确保安装好最新windows补丁(例如:MS17-010补丁 https://technet.microsoft.com/zh-cn/library/security/MS17-010),具体参见:https://help.aliyun.com/knowledge_detail/52638.html

1)Windows Update更新补丁方式

点击“开始”->“控制面板”->“Windows Update” ,点击“检查更新”

检查更新:

恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案_第4张图片

安装更新:

恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案_第5张图片

检查安装结果:

点击“查看更新历史记录”,检查安装的补丁:

恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案_第6张图片

重启生效

安装完成后,补丁安装状态为“挂起”,重启后生效:

恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案_第7张图片

最好的防范策略还是有备无患,免费实用的日常文件备份方案:


普通电脑:


百度云盘有自动备份功能,你造吗?详情见


http://jingyan.baidu.com/article/9f63fb91d24bb6c8400f0ea7.html


服务器自动备份:

文件备份:Filegee,一个可以设置策略自动备份到百度云盘和FTP的利器,具体步骤关注凌睿软件微信公众号wjp20052006


数据库定时备份:

好备份+云备份,一个可以设置策略自动备份数据库到百度云盘和FTP的利器,具体步骤关注凌睿软件微信公众号wjp20052006


sqlserver数据库实时热备份:自行百度sqlserver订阅和镜像,

更多最新安全解决方案资讯请关注凌睿软件微信公众号wjp20052006



你可能感兴趣的:(永恒之蓝解决方案,勒索病毒,have,been,encrypted,加密病毒,WannaCry解决)