近日,天一解密安全团队发现QNCLD活跃度提升,并且变种为QNCLD的后缀,跟踪到多起QNCLD勒索事件,现发布安全预警,提醒广大用户预防QNCLD勒索。
目前天一解密已经可以成功解密QNCLD变种采用RSA+AES加密算法 QNCLD中毒文件可以在一个小时解决.
案例:长春某科技公司工作人员周六监测时发现服务器财务系统的所有文件全都无法运行,并且每个文件后面都加了qncld的后缀。严重影响了公司的正常工作秩序。客户在网上找到了我们天一解密,后经朋友推荐,知道我们可以处理问题,跟我们联系过后,公司当即派遣当地驻地工程师前往现场,通过检测发现有1台中毒服务器,经过数据分析可以处理。当即签订数据恢复合同,并协助客户进行资料备份。工程师在一天时间内利用备份文件修复了加密文件损坏的页信息电脑。
KRAB勒索病毒最新变种后缀.QNCLD成功处理解密方法经验工具sql/mdf数据库修复
一、紧急处置方案
1、对于已中招服务器
下线隔离。
2、对于未中招服务器
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
二、后续跟进方案
1)对于已下线隔离中招服务器,联系专业的解密团队(天一解密)进行恢复。
服务器、终端防护
- 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令
- 杜绝使用通用密码管理所有机器
-
安装杀毒软件、终端安全管理软件并及时更新病毒库
4. 及时安装漏洞补丁
5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础咨询QQ3157331512电话15169121444