目錄
前言:簡介
一、什麼是.halo勒索病毒?
二、.halo勒索病毒是如何傳播感染的?
三、感染.halo字尾勒索病毒建議立即做以下幾件事情
四、中了.halo字尾的勒索病毒檔案怎麼恢複?
五、加密資料恢複情況
六、系統安全防護措施建議
前言:簡介
近日, 我們發現多起 .halo勒索病毒家族的攻擊事件。該病毒主要針對企業的Web應用和資料庫伺服器發起攻擊,包括Spring Boot、Weblogic、OA、财務軟體等,在拿下目标裝置權限後還會嘗試在内網中橫向移動,擷取更多裝置的權限,然後執行加密程式加密裝置的檔案。經91資料恢複研究院分析該病毒加密特征,發現halo勒索病毒屬于BeijngCrypt勒索病毒家族,BeijngCrypt勒索病毒家族于 2020 開始傳播,在這幾年間一直保持着每年更新1-2次更新變種的頻率,偶爾活躍傳播,偶爾沉寂消失。
萬一不幸感染了這個勒索病毒,您可添加我們的資料恢複服務号(sjhf91)免費咨詢擷取資料恢複的相關幫助。
接下來我們先了解一下.halo勒索病毒。
一、什麼是.halo勒索病毒?
我們發現,.halo是一個勒索病毒類型程式的名稱。當我們在我們的測試系統上啟動一個樣本時,它會加密檔案并在檔案名後附加“ .halo”擴充名。例如,最初标題為“ 1.jpg ”的檔案顯示為“ 1.jpg.halo”,“ 2.jpg ”顯示為“ 2.jpg.halo”,依此類推。
攻擊者會向Web應用中植入大量的WebShell,一旦成功入侵目标裝置,攻擊者會嘗試釋放PowerCat、lCX、AnyDesk等黑客工具控制目标機器、建立賬戶,并嘗試遠端登入目标機器。此外,攻擊者還會使用fscan工具掃描裝置所在内網,并嘗試攻擊内網中的其它機器。在擷取到最多裝置權限後開始部署勒索病毒。
勒索病毒會繞開所有系統防禦,開始加密檔案的過程。在加密過程中會占用系統資源,計算機運作速度會變慢,但由于種種原因使用者可能不會察覺(比如休息日、深夜等),最顯著的特征是檔案的字尾擴充名變更為“.halo”。
二、.halo勒索病毒是如何傳播感染的?
經過我們分析中毒後的機器環境判斷,BeijngCrypt勒索病毒家族基本上是通過以下兩種方式入侵。
遠端桌面密碼爆破
關閉遠端桌面,或者修改預設使用者administrator。
資料庫弱密碼攻擊
檢查資料庫的sa使用者的密碼複雜度。
三、感染.halo字尾勒索病毒建議立即做以下幾件事情
如果伺服器不幸感染了勒索病毒,建議立即采取以下措施:
斷網連接配接:将感染病毒的裝置斷開網際網路連接配接;
備份資料:如果可能,請確定将資料備份到一個安全的地方,以防止資料丢失。
清除病毒:使用專業的反病毒軟體掃描并删除病毒。如果不确定如何操作,建議尋求專業的資料恢複公司支援。
更新安全性:更新作業系統和安全軟體,以提高伺服器的安全性。
資料恢複:如需資料恢複,尋求專業資料恢複公司的幫助,千萬不要擅自進行檔案字尾修改或者使用各種資料恢複軟體進行操作,這将會二次破壞檔案内容,可能導緻後期資料永久無法恢複。
四、中了.halo字尾的勒索病毒檔案怎麼恢複?
此字尾病毒檔案由于加密算法問題,每台感染的電腦伺服器檔案都不一樣,需要獨立檢測與分析中毒檔案的病毒特征與加密情況,才能确定最适合的修複方案。
考慮到資料恢複需要的時間、成本、風險等因素,建議如果資料不太重要,建議直接全盤掃描殺毒後全盤格式化重裝系統,後續做好系統安全防護工作即可。如果受感染的資料确實有恢複的價值與必要性,可添加我們的技術服務号(sjhf91)進行免費咨詢擷取資料恢複的相關幫助。
五、加密資料恢複情況
一台伺服器,被加密的檔案有4萬+個,主要是恢複速達軟體的業務資料庫檔案。
資料恢複完成情況:
被加密的檔案,除了4個c盤系統緩存檔案以外,其它所有檔案均100%恢複。恢複完成的檔案均可以正常打開及使用。
六、系統安全防護措施建議
預防遠比救援重要,是以為了避免出現此類事件,強烈建議大家日常做好以下防護措施:
① 及時給辦公終端和伺服器打更新檔,修複漏洞,包括作業系統以及第三方應用的更新檔,防止攻擊者通過漏洞入侵系統。
② 盡量關閉不必要的端口,如139、445、3389等端口。如果不使用,可直接關閉高危端口,降低被漏洞攻擊的風險。
③ 不對外提供服務的裝置不要暴露于公網之上,對外提供服務的系統,應保持較低權限。
④ 企業使用者應采用高強度且無規律的密碼來登入辦公系統或伺服器,要求包括數字、大小寫字母、符号,且長度至少為8位的密碼,并定期更換密碼。
⑤ 資料備份保護,對關鍵資料和業務系統做備份,如離線備份,異地備份,雲備份等, 避免因為資料丢失、被加密等造成業務停擺,甚至被迫向攻擊者妥協。
⑥ 敏感資料隔離,對敏感業務及其相關資料做好網絡隔離。避免雙重勒索病毒在入侵後輕易竊取到敏感資料,對公司業務和機密資訊造成重大威脅。
⑦ 盡量關閉不必要的檔案共享。
⑧ 提高安全運維人員職業素養,定期進行木馬病毒清除。