关于勒索病毒的安全防范建议-已经多家企业中招
尊敬的用友用户:
您们好!最近很多客户反映服务器莫名奇妙中了勒索病毒,每个文件夹多了3个文件README.bmp ReadMe.txt README.html,并且所有的文件都被加密了,打开全乱码!但是加密后的文件名没变(没加MP3等后缀)!
另外桌面也被设置成了README.bmp
ReadMe.txt内容:
NOT YOUR LANGUAGE? USEhttps://translate.google.com
What happened to your files ?
All of your files were protected by a strongencryption with RSA4096
More information about the encryption keys usingRSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personalRSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with thepublic key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possiblewith the help of the private key and decrypt program , which is on our SecretServer
What do I do ?
So , there are two ways you can choose: wait fora _miracle_ and get _your_ PRICE DOUBLED! Or start obtaining *BITCOIN NOW! ,and restore _YOUR_ _DATA_ easy way
If You have really valuable _DATA_, you better_NOT_ _WASTE_ _YOUR_ _TIME_, because there is _NO_ other way to get your files,except make a _PAYMENT_
Your personal ID:A67E4947:4E74B83C:1F7AEA95:3D58A05E
For more specific instructions, please visityour personal home page, there are a few different addresses pointing to yourpage below:
1 - http://rq5w3yn6qgbu4mo5.onion.to
2 - http://rq5w3yn6qgbu4mo5.onion.city
If for some reasons the addresses are notavailablweropie, follow these steps:
1 - Download and install tor-browser:http://www.torproject.org/projects/torbrowser.html.en
2 - Video instruction:https://www.youtube.com/watch?v=NQrUZdsw2hA
3 - After a successful installation, run thebrowser
4 - Type in the address bar:http://rq5w3yn6qgbu4mo5.onion
5 - Follow the instructions on the site
中毒后桌面会显示一段英文留有邮箱联系方式如图:
所有的文件扩展名改成xtbl格式,并且文件全部打不开。
临沂用友安全建议:
由于“勒索病毒”均采用高强度非对称加密算法对文件进行加密,且在被加密的文件中并不存储解密密钥,所以如果文件被“勒索病毒”加密,还原的可能性非常低。所以,对于“勒索病毒”应采取预防的策略,我们建议:
1.最好将用友软件的数据、应用服务器分两台电脑安装,如果有使用远程通建议将单独设置一台网络服务器使用,这样可以做到应用、数据服务器和网络服务器分离,避免用友软件服务器直接暴露在外网上,最大程度保证数据安全。
2.及时更新操作系统补丁,防止利用系统漏洞传播的病毒有机可乘;确定系统登陆密码已设定为强密码(密码长度大于6位,同时包含字母、数字、符号);关闭不必要的共享获将共享资源设为“只读”状态。及时关注最新安全动态,防止新型病毒感染,做好相应的预防措施。
3.不要在服务器上随意浏览未知风险的网站
4.安装优秀的杀毒软件,并定期更新病毒库及查杀病毒。
5.尽量不要插来源未知的U盘、移动硬盘到服务器上
6.数据库定期备份,如备份到移动硬盘等,但请在备份好数据库文件之后将移动硬盘移除掉
7.如有条件尽量使用VPN设备作为网关设备,可确保服务器仅在局域网内进行数据传输
8.平时要开启系统防火墙,添加入站规则开放需要端口
9.开远程桌面的用户要注意远程管理的权限,最好改administrator的名字或新建个单独的管理用户
10.设置系统账号、SQL数据库管理员的密码过于简单,密码设置要满足足够长,要加特殊字符和数字和字母等
11.很多客户机器公网裸奔,有些客户嫌麻烦或图便宜,直接拉根宽带连接服务器上网,没有任何防护措施,导致经常中毒
12.对于电子函件中的可执行程序附件都必须检查,确定无异后才可使用。 对方发送过来的电子函件及相关附件的文档,首先要用“另存为…”命令(“Save As…”)保存到本地硬盘,待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或Excel,如有附件中有计算机病毒则会立刻传染;如有“是否启用宏”的提示,不要轻易打开,否则极有可能传染上宏病毒。 对于文件扩展名比较特殊的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害。
总之,为了保障ERP数据的安全,请大家重视服务器的数据安全,做好安全防护措施,尤其要养成定期备份账套并将数据拷出的习惯,以防电脑出现任何问题影响了自身的使用。其中最重要的事就是备份数据,备份数据,备份数据,重要的事情说三遍,如已经中了勒索病毒,请马上联系我们,电话:18669962876 15554959012 -----临沂用友软件营销服务中心。
用友软件,7*12小时运维服务!服务监督电话:400-660-0566 临沂用友软件销售、培训、服务、临沂用友软件实施,企事业单位信息化管理服务,临沂致远OA办公系统,联系电话:18669962876 yonyou技术服务QQ:1095460234 |
