如何判断服务器是否遭受了勒索攻击？

如何判断服务器被勒索

服务器被勒索是一种严重的网络安全事件，通常由恶意软件（即勒索病毒）引起，勒索病毒会对服务器上的文件进行加密，并要求受害者支付赎金以解锁这些文件，以下是一些关键步骤和方法，帮助你判断服务器是否被勒索：

检查异常文件扩展名

1、常见勒索病毒后缀

.locky：Locky勒索软件后缀。

.crypt：部分勒索软件使用“.crypt”作为加密后的文件扩展名。

.CrySiS：CrySiS勒索软件扩展名。

.cryptolocker：CryptoLocker勒索软件扩展名。

.wallet：Dharma勒索软件扩展名。

.cerber：Cerber勒索软件后缀。

.zepto：Zepto勒索软件后缀。

.thor：Thor勒索软件扩展名。

.odin：Odin勒索软件文件扩展名。

.lockyv1：Locky的另一个变体新扩展名。

.arena：Arena勒索软件扩展名。

.grapn：GlobeImposter勒索软件文件扩展名。

.ACCDFISA：Accdfisa勒索软件后缀。

.locked：Locked勒索软件扩展名。

.encrypTile：EncrypTile勒索软件扩展名。

.mole：Mole勒索软件后缀。

2、如何检查

打开文件资源管理器或命令行工具（如Windows中的dir /b命令），浏览服务器中的各个文件夹，查找是否有文件扩展名被修改为上述后缀之一。

检查文件生存的时间

1、正常与异常对比

正常工作的文件生成时间通常不会大规模接近，例如所有文件的创建时间或修改时间基本在同一天或几个小时内。

如果发现大量文件的修改日期在同一天，且这些文件原本不应同时修改，那么这可能是勒索病毒攻击的迹象。

2、如何检查

在Windows系统中，右键点击文件并选择“属性”，查看“创建时间”和“修改时间”。

在Linux系统中，使用ls -l命令查看文件的详细信息。

发现勒索信息

1、勒索提示

勒索软件通常会在受感染的计算机中留下文本文件或弹窗，要求支付赎金以获取解密密钥。

这些文本文件可能包含犯罪分子的联系方式和支付赎金的指示。

2、如何识别

检查桌面、文件夹和启动项中是否有新的文本文件或网页文件，内容包含赎金要求和支付方式。

注意弹窗警告信息，尤其是那些要求支付赎金以解锁文件的信息。

电脑桌面被篡改同时文件无法访问

1、桌面变化

个人计算机或服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，如出现新的文本文件或网页文件，用于说明如何解密的信息。

同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。

2、文件访问异常

用户无法打开或访问文件，并显示错误信息或加密提示。

办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改。

不明进程

1、监视操作系统进程

寻找不明进程的存在，这可能是勒索软件的运行进程。

2、Windows下排除不名进程

使用任务管理器（Ctrl+Shift+Esc）查看正在运行的进程列表，注意查找不熟悉的进程名称或具有奇怪描述的进程。

使用系统监控工具（如Process Explorer）查看更详细的进程信息，分析进程之间的关系和启动路径。

检查系统的启动项，查看是否有启动时会自动运行的不明进程或程序。

3、Linux下检查不明进程

使用命令行工具（如ps aux）查看当前运行的所有进程，结合grep命令过滤特定的进程信息。

查看启动项和服务，使用systemctl list-units --type=service和ls /etc/init.d/命令。

检查定时任务，使用crontab -l命令查看当前用户的定时任务列表，以及/etc/cron.d/、/etc/cron.daily/、/etc/cron.hourly/等目录下的定时任务设置。

使用安全工具（如rkhunter、chkrootkit）对系统进行扫描，以侦测可能的恶意进程或后门程序。

查看日志文件（如/var/log/messages、/var/log/syslog），了解系统活动和可能的异常情况。

网络连接监控，使用netstat -tulnp命令查看系统上的网络连接及监听端口。

审查系统文件，使用md5sum或sha256sum命令计算文件的哈希值，检查是否被篡改。

业务系统无法访问

1、业务影响

自2018年以来，勒索病毒的攻击不再局限于加密核心业务文件，而是转而对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营。

甚至延伸至生产线，导致生产线停产，某三甲医院遭遇勒索病毒攻击，全院所有的医疗系统均无法正常使用；台积电在台湾北、中、南三处重要生产基地因勒索病毒入侵导致生产停摆。

2、综合判断

当业务系统出现无法访问、生产线停产等现象时，并不能100%确定是服务器感染了勒索病毒，也有可能是遭到DDoS攻击或是中了其他病毒等原因所致，需要结合前面的现象来确认。

相关问题与解答

1、如何预防服务器被勒索？

安装杀毒和安全防护软件：不随意退出安全软件或关闭防护功能，定期进行全盘杀毒。

开启系统自动更新功能：或使用安全软件的第三方打补丁功能对系统进行漏洞管理，第一时间给操作系统和常用软件打好补丁，定期更新病毒库。

密码管理：密码一定要使用强口令，并且不同账号使用不同密码。

数据备份：重要文档数据应经常做备份，并确保备份文件的安全。

访问控制：尽量不要启用文件共享功能和远程桌面功能，避免不必要的网络暴露。

员工培训：提高员工的安全意识，不轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。

2、如果服务器已经被勒索病毒感染，应该怎么办？

立即隔离被感染主机：包括物理隔离（断网、关机）和访问控制（修改服务器密码、关闭不必要的端口）。

排查业务系统：在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等。

寻求专业帮助：如果确认服务器已经被感染勒索病毒且无法自行解决，应立即寻求专业的技术支持进行详细的检查和清除操作。

以上内容就是解答有关“怎么判断服务器被勒索”的详细内容了，我相信这篇文章可以为您解决一些疑惑，有任何问题欢迎留言反馈，谢谢阅读。