代码编织梦想

 

什么是chch勒索病毒?

ChchGrujaRS发现,是勒索病毒感染。该恶意软件旨在对数据进行加密,并要求为解密工具/软件支付赎金。Chch加密时,所有受影响的文件都使用“ .chch ”扩展名重命名。例如,“ 1.jpg ”在加密后将显示为“ 1.jpg.chch ”。此过程完成后,文本文件(“ READ_ME.TXT ”)存储在桌面上。该文件包含勒索消息。

文本文件(“ READ_ME.TXT”)指出,受害者的所有数据均已加密。它声称解密的唯一方法是从Chch勒索病毒背后的网络罪犯那里购买解密器(即解密工具/软件)。为了接收更多说明,系统会指示用户通过提供的电子邮件地址与恶意软件开发者建立联系。用户的电子邮件必须包含一个ID(列在赎金消息中)和一个加密的图像或文本文件。这些文件被解密为可以恢复的“证明”。然后返回还原的文件,并分配付款金额。此外,还提供了有关如何支付赎金的详细信息。该消息通知用户,在他们转移请求的金额之后,他们将收到所有必要的资产和信息以解密其数据。该消息以警告结尾,警告是删除恶意程序,运行防病毒软件或尝试手动解密将导致永久性数据丢失。此外,其他受影响用户的解密器将不兼容,因为加密密钥是针对每个受害者分别生成的。在大多数勒索病毒感染的情况下,没有责任人参与的解密是不可能的。仅当恶意软件具有关键错误/缺陷和/或仍在开发中时,才可能这样做。无论如何,强烈建议您不要与网络罪犯进行交流和/或满足他们的赎金要求。尽管付款,受害者仍未收到承诺的解密工具/软件。因此,它们的文件保持加密且无用。删除Chch不会还原已经受到破坏的数据,但是,它将阻止进一步的加密。唯一可行的解​​决方案是从备份还原文件(如果该文件是在感染之前制作的,并存储在其他位置)。

 

chch勒索病毒是如何传播感染的?

勒索病毒和其他恶意软件扩散的最常见模式是通过木马,垃圾邮件活动,不可靠的下载源,非法软件激活(“破解”)工具和伪造更新程序。木马是恶意程序,通过引起链条感染来运行(即,它们下载/安装其他恶意软件)。垃圾邮件活动用于发送数千封欺骗性电子邮件。邮件通常表示为“正式”,“重要”,“优先级”等。这些电子邮件附加了危险文件或指向它们的链接。附件有各种格式(例如存档和可执行文件,PDF和Microsoft Office文档,JavaScript等)。一旦运行,执行或以其他方式打开它们,它将启动感染过程。非法激活工具(“裂纹” )可以下载/安装恶意软件,而不是激活许可产品。伪造的更新程序通过利用过时的软件中的漏洞或仅安装恶意软件而不是承诺的更新来感染系统。对等共享网络(BitTorrent,eMule,Gnutella等)非官方和免费文件托管网站,第三方下载器和类似渠道不受信任,并且更有可能提供恶意内容(例如,伪装成正常程序和/或捆绑销售)与他们)下载

 

如何保护自己免受chch勒索病毒感染?

不应该打开可疑/无关的电子邮件。同样,绝对不能打开在可疑邮件中找到的附件或链接,因为这可能触发它们开始下载/安装恶意软件。与各种共享网络或其他第三方下载器相对,仅使用官方和经过验证的下载源。程序的激活和更新应使用合法开发人员提供的工具/功能进行。非法激活(“破解”)工具和第三方更新程序是高风险的,应避免使用。安装了信誉良好的防病毒/反间谍软件套件并保持最新状态。该软件应用于执行常规系统扫描并消除所有潜在威胁

 

中了.chch后缀的勒索病毒文件怎么恢复?

此后缀文件的修复成功率大概在90%~99%之间。

1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具

2.如果文件急需,可以添加服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。

 

预防勒索病毒-日常防护建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;

2.登录口令要有足够的长度和复杂性,并定期更换登录口令;

3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。

4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。

5.关闭非必要的服务和端口如135、139、445、3389等高危端口。

6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;

7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;

8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/tel17665780226/article/details/110941234

2020-12-09-爱代码爱编程

&&信息收集&& ip查询 nmap 192.168.99.0/24 查看详细信息和查看是否有隐藏ip(没有隐藏的) 目录扫描 dirb http://192.168.99.34 robots.txt /nothing 查看源代码 /tmp 、/uploads 、/angel 、/angel1(什么都没有) /secu

攻防世界XCTF fakebook-爱代码爱编程

打开后我们发现login 和 join ,我们先join 其实,这里是有个post注入的 查注入的方法 首先我们打开bp抓包工具 右键选择复制到文件 我们发现这里的username可以进行post注入,后面就可以无脑注入了。 第二种方法 点击我们的admin 下载源码查看 Get()方法并没有对获取过来的url进行任何的过滤所以这里存在SSRF 这里我们

2020-12-09-爱代码爱编程

12月8日,美国顶级安全公司FireEye(中文名:火眼)发布一则通告称:其内部网络被某个“拥有一流网络攻击能力的国家”所突破,这场攻击导致FireEye的红队安全工具被盗走。 FireEye官方说明(图片源自FireEye官网fireeye.com) 这次攻击和以往不同的是,攻击者在入侵FireEye后,并没有进行勒索或数据泄露等常规操作,而是直接盗

在网络暴力面前,如何避免泄漏过多的个人信息-爱代码爱编程

导语 12月8日成都的朋友圈炸了, 成都本地新增3例确诊病例并且均系郫县区。 网络焦点聚焦在一名20岁的患者赵某某身上。 她新冠患者的身份和“2日内在成都各大酒店转场”的行为 引发了群众的关注, 随后该女生的行踪及个人信息被爆出。 随后警方便做出了回应:确诊者个人信息被泄露, 已介入调查。 我们从大数据角度来看看她的隐私信息是如何被跟踪

微软十二月补丁星期二修复58个漏洞-爱代码爱编程

 聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今天,微软发布12月补丁星期二,修复了共计58个漏洞和一个关于微软产品的安全通告。在58个漏洞中,9个为“严重”级别,48个为“重要”级别,而2个为“中危”级别。 这次更新并不包含 0day 或此前已披露漏洞。 微软发布了由清华大学-奇安信联合团队以及加利福尼亚大学的安

7个安全认证资料包给你白嫖-爱代码爱编程

今天搬砖不狠,明天地位不稳。   《2020中国网络安全企业100强报告》有三句话 未来十年,中国网络安全时长规模将增长十倍;未来十年,完了过安全会成为优先级最高的IT投资;未来十年,网络安全将成为第一生产力。  网络安全越加重要已是未来的趋势所向。而且一个行业成熟是有其特点和规律的,比如安全行业:越来越细分,大家可以看看现在安全圈很多人创业

java反序列化漏洞测试-爱代码爱编程

java反序列化漏洞测试 反序列化漏洞测试类正式测试 反序列化漏洞 package com.lcw.demo; import java.io.*; import java.util.HashMap; import java.util.Map; // 用到的commons.collections包 import com.alibaba.fas

前端安全(1):引起前端安全问题的因素-爱代码爱编程

一、有那些可能引起前端安全的问题 跨站脚本(Cross-Site Scripting,XSS):一种代码注入方式,为了与CSS区分所以被称为XSS,早期常见于网络论坛,起因是网站没有对用户的输入进行严格的限制,使得攻击者可以将脚本上传到帖子让其他人浏览到有恶意脚本的页面,其注入方式很简单包括但不限于Javascript / VBScript / CSS

Hackthebox:Grandpa Walkthrough(not use metasploit)-爱代码爱编程

基本和granny差不多 预备知识 nikto、nmap、iis6.0的webdav windows低权限用户可写的目录 CVE:2017-7269、巴西烤肉(churrasco.exe) 信息收集和获取立足点 先探测端口服务 nmap 10.10.10.14 只开了一个80的http,先浏览器访问一下 只是一个报错页面,nikto探

ActiveMQ反序列化漏洞(CVE-2015-5254)复现-爱代码爱编程

ActiveMQ 反序列化漏洞(CVE-2015-5254)复现 导语 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中

vulhub漏洞复现系列之Adobe ColdFusion(cve-2010-2861文件读取漏洞、CVE-2017-3066反序列化漏洞)-爱代码爱编程

CVE-2010-2861)Adobe ColdFusion 文件读取漏洞 一、漏洞简介 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 二、漏洞影响 Adobe ColdFusion 8 Adobe ColdFusion 9 三、漏洞复现 直接访问http://www.0-sec.org:85

CVE-2020-25540:ThinkAdmin未授权列目录/任意文件读取漏洞复现-爱代码爱编程

目录   1. 简介 2. 影响范围 3. 环境搭建 3.1 安装Composer 4. 漏洞复现 4.1 列举目录 4.2 任意文件读取 1. 简介 ThinkAdmin 是基于 ThinkPHP后台开发框架,在ThinkAdmin v6版本存在路径遍历漏洞,该漏洞可以利用GET请求编码参数读取远程服务器上任意文件。 2. 影响范围