自用电脑中了勒索病毒!

62 天前
 jjrhlb
今天早晨到了公司,习惯性的远程家中的电脑(家中挂魔法使用 ChatGPT+摸鱼),发现中了勒索病毒,文件都被加密了,我的电脑是裸奔的,临时下了一个火绒扫到了病毒文件;这时候很怕波及到工作电脑,想溯源看一下是哪里出了问题。

搜索了一下这种情况基本都是 RDP 爆破导致的,文件的加密时间是凌晨 3 点,查看 windows 系统日志发现 2:57 有 RDP 连接记录,但是记录的源网络地址是: 127.0.0.1 ,不是组网 ip 或者局域网 ip ,应该是映射到的,此时虽然还不知道是哪个软件出了问题,但是应该是不会波及到工作电脑了,还是心安了一些。

在查看 windows 系统日志我也发现了一个问题,我并没有看到登录失败的报错,虽然我的密码很简单(图方便:1111 ),但真的一次就连上了吗,此处待定。上面确定是域名映射到了本地的 3389 端口,回想了一下我使用的映射应该只有 zeronews 和 cloudflared ,可能是官网被爆破了?未知,最后还是没有锁定问题。

最后,已老实。以后会使用强度更高的密码,使用大厂背书的软件。
大家有什么可以进一步溯源或者安全方面的建议吗?
4913 次点击
所在节点    信息安全
57 条回复
wuud
62 天前
127.0.0.1 是本机 IP ,通过描述猜测可能是把家中电脑端口转发到公网 IP ,导致主机密码被爆破。
可以通过查看端口转发或服务器日志,2:57 分有哪个 IP 连接了
一般的防护方法就是更改默认用户名,使用强密码,不对外映射端口或使用白名单策略,可以但不建议安装杀软
Tamio
62 天前
你是有公网 IP 吗? 用的是 windows 远程桌面还是别的什么方案?
lizy0329
62 天前
前阵子才中了,公司测试环境全崩
loocao
62 天前
@Tamio #2 127.0.0.1 连接 RDP ,应该是被什么软件装了后门,把 3389 端口转发到某个公网 IP 了。
如果是有公网 IP 直接连接 RDP ,windows 系统日志里面看到的就是对方的公网 IP 了,而不是 127.0.0.1 。
someonesnone
62 天前
我已经把 3389 改成别的端口了,,, 不知道有没有更强的防护作用
idragonet
62 天前
映射公网肯定开 IP 白名单的。
liuzimin
62 天前
我以前用 cpolar 做的内网穿透,也中招过一次。当时密码设得贼简单:test123456 。中招后只看了下杀毒软件报的毒叫 neshta 。然后情急之下也没管什么溯源了,直接就重装系统了。。。

从此不敢再用这种内网穿透方案(虽然知道问题主要是弱密码+3389 ),后改用 tailscale 了。
jjrhlb
62 天前
@wuud 感谢老哥,那我回去再定位一下,还是想确定是哪个服务出的问题
jjrhlb
62 天前
@loocao 嗯是的了
jjrhlb
62 天前
@lizy0329 公司千万小心,自己的电脑还行 回去重装下
jjrhlb
62 天前
@someonesnone 应该是有的吧,重装之后我也修改下
jjrhlb
62 天前
@liuzimin 你这么一说,我也是挂着 cpolar 的,不会是这个吧😭发布到公网确实危险,重装以后老老实实用 组网工具了
jjrhlb
62 天前
@idragonet 嗯确实,公网的话确实还是非常需要开白名单的
yinmin
62 天前
@someonesnone #5 rdp 改端口没有用的,放公网几天就被盯上不断的攻击了。rdp 最妥当的方式还是先 vpn 再 rdp
MFWT
62 天前
建议还是套一层 VPN ,久经考验的 VPN (包括但不限于 Tailscale 那种底层调用成品 VPN 的)安全性,多多少少会比某个小软件好一些
MFWT
62 天前
而且 1111 这种密码基本上就是各大密码库常客了,和 123456 不分伯仲
jjrhlb
62 天前
@MFWT 本来是用的组网工具,后来暴露在公网上了确实应该换个密码的😭
a1210968738
62 天前
几年前的电脑也是开了 rdp 到公网中了勒索病毒文件全加密了,有没有 v 友知道这么多年了是否有可能解密回来?😂
proxytoworld
62 天前
估计是自动加密的,黑客没有专门看你电脑,不然你公司电脑也会被感染
proxytoworld
62 天前
@a1210968738 看什么家族吧,老美弄过解密工具应该是,部分家族可以解密

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1080517

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX