什么是Harma勒索病毒?
|
名稱 |
Harma病毒 |
|
威脅型別 |
勒索病毒,加密病毒,檔案柜 |
|
加密檔案擴展名 |
.harma(此勒索病毒還會在檔案名后附加受害者的唯一ID和開發者的電子郵件地址), |
|
檢測名稱 |
Avast(Win32:RansomX-gen [Ransom]),BitDefender(Trojan.Ransom.Crysis.E),ESET-NOD32(Win32 / Filecoder.Crysis.P的變種),卡巴斯基(Trojan-Ransom.Win32.Crusis.to ),完整檢測串列(VirusTotal) |
|
病征 |
無法打開計算機上存盤的檔案,以前的功能檔案現在具有不同的擴展名(例如,my.docx.locked),贖金要求訊息顯示在您的桌面上,網路罪犯要求支付贖金(通常以位元幣支付)以解鎖您的檔案, |
|
分配方式 |
受感染的電子郵件附件(宏),洪流網站,惡意廣告, |
|
損傷 |
所有檔案都是加密的,未經勒索無法打開,可以將其他密碼竊取木馬和惡意軟體感染與勒索病毒感染一起安裝, |
Harma由惡意軟體研究員Jakub Kroustek首次發現 ,是屬于Dharma家族的高風險勒索病毒 ,成功滲透之后,Harma會加密大多數存盤的資料,從而使其無法使用,此外,Harma在檔案名后附加擴展名“ .harma ”,受害者的唯一ID和開發者的電子郵件地址,例如,“ sample.jpg ”可能會重命名為檔案名,例如“ sample.jpg.id-1E857D00,[[email protected]] .harma ”,資料加密后,Harma將打開一個彈出視窗,并將文本檔案(“ FILES ENCRYPTED.txt ”)存盤在受害者的桌面上,
文本檔案和彈出視窗會傳遞一條訊息,通知加密的受害者,并鼓勵他們如果希望恢復資料,請與Harma的開發人員聯系,但是,彈出視窗提供了更多詳細資訊,據指出,只能使用受害者必須購買的獨特解密工具來恢復資料,不幸的是,此資訊是準確的,Harma使用為每個受害者生成唯一解密密鑰的演算法對資料進行加密,但是,受害者無法訪問他們的密鑰,因為它們存盤在由網路犯罪分子控制的遠程服務器上,為了獲得解密密鑰(或更確切地說,是嵌入了密鑰的工具),鼓勵每個受害者支付贖金,費用沒有指定,但通常在$ 500到$ 1500之間波動,還規定必須使用位元幣加密貨幣提交付款,此外,網路罪犯還允許受害者附加一個選定的檔案(最大1 MB,未歸檔),然后,假定該檔案已還原并作為可能解密的“證據”回傳,但是請注意,這僅是為了獲得受害者的信任,一旦提交付款,罪犯通常會忽略受害者,因此,我們強烈建議您忽略所有與這些人聯系或支付贖金的請求,不幸的是,Harma是不可解密的勒索病毒,并且沒有工具能夠免費破解加密和還原資料,唯一的解決方案是從備份中還原所有內容(如果已創建),然后,可以認為該檔案已還原并作為可以解密的“證明”回傳,但是請注意,這僅僅是為了獲得受害者的信任,一旦提交付款,罪犯通常會忽略受害者,因此,我們強烈建議您忽略所有與這些人聯系或支付贖金的請求,不幸的是,Harma是不可解密的勒索病毒,并且沒有工具能夠免費破解加密和還原資料,唯一的解決方案是從備份中還原所有內容(如果已創建),然后,可以認為該檔案已還原并作為可以解密的“證明”回傳,但是請注意,這僅是為了獲得受害者的信任,一旦提交付款,罪犯通常會忽略受害者,因此,我們強烈建議您忽略與這些人聯系或支付任何贖金的所有請求,不幸的是,Harma是不可解密的勒索病毒,并且沒有工具能夠免費破解加密和還原資料,唯一的解決方案是從備份中還原所有內容(如果已創建),我們強烈建議您忽略與這些人聯系或支付任何贖金的所有請求,不幸的是,Harma是不可解密的勒索病毒,并且沒有工具能夠免費破解加密和還原資料,唯一的解決方案是從備份中還原所有內容(如果已創建),我們強烈建議您忽略與這些人聯系或支付任何贖金的所有請求,不幸的是,Harma是不可解密的勒索病毒,并且沒有工具能夠免費破解加密和還原資料,唯一的解決方案是從備份中還原所有內容(如果已創建),
有數十種勒索病毒型別的感染與Harma有相似之處,包括 Vesad,Poop和 Ghost(Jamper) -這些只是許多示例,盡管開發人員不同,但是所有這些病毒的行為都相同:它們對資料進行加密并提出勒索要求,通常只有兩個主要區別:贖金的大小和所使用的加密演算法的型別,不幸的是,這種型別的感染使用密碼學(例如RSA,AES等)生成唯一的解密密鑰,因此,除非病毒具有錯誤或缺陷,否則在沒有開發人員參與的情況下不可能解密資料,勒索病毒感染是維護常規備份的有力前提,但是,備份檔案必須存盤在遠程服務器或拔出的存盤設備上,因為本地存盤的備份可能與常規資料一起損壞,另外,我們建議您將多個備份副本存盤在不同的位置,因為始終有可能損壞服務器/存盤設備,
.harma勒索病毒是如何傳播感染的?
諸如Harma之類的感染通常使用垃圾郵件活動,非官方的軟體下載源,木馬,假冒的軟體更新程式和“漏洞”進行分發,網路罪犯開展了垃圾郵件運動,發送包含欺騙性訊息的數十萬封電子郵件,鼓勵收件人打開惡意的附件/鏈接,為了給人以合法性的印象,犯罪分子將惡意附件作為重要檔案(例如發票,票據,收據等)出示,第三方下載源(對等[P2P]網路,免費軟體下載網站,免費檔案托管網站等)也以類似方式使用,犯罪分子將惡意可執行檔案作為合法軟體提供,從而誘騙用戶手動下載/安裝惡意軟體,特洛伊木馬程式是惡意應用程式,旨在潛入計算機中并向其注入其他惡意軟體,大多數偽造的更新程式都是通過利用過時的軟體錯誤/缺陷或只是下載并安裝惡意軟體而不是更新來感染計算機,最后,偽造的裂縫會感染計算機,而不是提供軟體的付費功能,總之,導致計算機感染的主要原因是對這些威脅的了解不足以及行為不慎,
如何保護自己免受.harma勒索病毒感染?
計算機安全的關鍵是謹慎,因此,在瀏覽Internet以及下載,安裝和更新軟體時,請密切注意,仔細分析收到的每個電子郵件附件,如果發件人看起來可疑或無法識別,請不要打開任何東西,同樣的內容適用于與您無關或無關的附件,使用直接下載鏈接只能從官方來源下載軟體,第三方下載器/安裝程式通常通過推廣(另外包括)惡意應用來獲利,因此切勿使用這些工具,使用官方開發人員提供的已實作功能或工具,使安裝的應用程式保持最新,破解已安裝的應用程式是非法的(軟體盜版是網路犯罪),此外,這些嘗試很有可能導致高風險的計算機感染,由于這些原因,您永遠不要嘗試破解軟體,已安裝并正在運行有信譽良好的防病毒/反間諜軟體套件-這些工具可以在對系統造成損害之前檢測并消除感染,
中了.harma檔案后綴的Dharma家族勒索病毒檔案怎么恢復?
1.如果檔案不急需,可以先備份等黑客被抓或良心發現,自行發布解密工具
2.如果檔案急需,可以添加我的服務號(shujuxf),發送檔案樣本給我進行免費咨詢資料恢復方案,或者尋求其它第三方解密服務,
預防勒索病毒-日常防護建議:
預防遠比救援重要,所以為了避免出現此類事件,強烈建議大家日常做好以下防護措施:
1.多臺機器,不要使用相同的賬號和口令,以免出現“一臺淪陷,全網癱瘓”的慘狀;
2.登錄口令要有足夠的長度和復雜性,并定期更換登錄口令;
3.嚴格控制共享檔案夾權限,在需要共享資料的部分,盡可能的多采取云協作的方式,
4.及時修補系統漏洞,同時不要忽略各種常用服務的安全補丁,
5.關閉非必要的服務和埠如135、139、445、3389等高危埠,
6.備份備份備份!!!重要資料一定要定期隔離備份,進行RAID備份、多機異地備份、混合云備份,對于涉及到機密或重要的檔案建議選擇多種方式來備份;
7.提高安全意識,不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟體發送的檔案,在點擊或運行前進行安全掃描,盡量從安全可信的渠道下載和安裝軟體;
8.安裝專業的安全防護軟體并確保安全監控正常開啟并運行,及時對安全軟體進行更新,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/200510.html
標籤:訊息安全