自用电脑中了勒索病毒！

wuud

1 天前

127.0.0.1 是本机 IP ，通过描述猜测可能是把家中电脑端口转发到公网 IP ，导致主机密码被爆破。
可以通过查看端口转发或服务器日志，2:57 分有哪个 IP 连接了
一般的防护方法就是更改默认用户名，使用强密码，不对外映射端口或使用白名单策略，可以但不建议安装杀软

Tamio

1 天前

你是有公网 IP 吗? 用的是 windows 远程桌面还是别的什么方案?

lizy0329

23 小时 57 分钟前

前阵子才中了，公司测试环境全崩

loocao

23 小时 56 分钟前

@Tamio #2 127.0.0.1 连接 RDP ，应该是被什么软件装了后门，把 3389 端口转发到某个公网 IP 了。
如果是有公网 IP 直接连接 RDP ，windows 系统日志里面看到的就是对方的公网 IP 了，而不是 127.0.0.1 。

someonesnone

23 小时 56 分钟前

我已经把 3389 改成别的端口了,,, 不知道有没有更强的防护作用

idragonet

23 小时 44 分钟前

映射公网肯定开 IP 白名单的。

liuzimin

23 小时 13 分钟前

我以前用 cpolar 做的内网穿透，也中招过一次。当时密码设得贼简单：test123456 。中招后只看了下杀毒软件报的毒叫 neshta 。然后情急之下也没管什么溯源了，直接就重装系统了。。。

从此不敢再用这种内网穿透方案（虽然知道问题主要是弱密码+3389 ），后改用 tailscale 了。

jjrhlb

22 小时 57 分钟前

@wuud 感谢老哥，那我回去再定位一下，还是想确定是哪个服务出的问题

jjrhlb

22 小时 56 分钟前

@loocao 嗯是的了

jjrhlb

22 小时 56 分钟前

@lizy0329 公司千万小心，自己的电脑还行回去重装下

jjrhlb

22 小时 56 分钟前

@someonesnone 应该是有的吧，重装之后我也修改下

jjrhlb

22 小时 54 分钟前

@liuzimin 你这么一说，我也是挂着 cpolar 的，不会是这个吧😭发布到公网确实危险，重装以后老老实实用组网工具了

jjrhlb

22 小时 51 分钟前

@idragonet 嗯确实，公网的话确实还是非常需要开白名单的

yinmin

22 小时 11 分钟前

@someonesnone #5 rdp 改端口没有用的，放公网几天就被盯上不断的攻击了。rdp 最妥当的方式还是先 vpn 再 rdp

MFWT

22 小时 8 分钟前

建议还是套一层 VPN ，久经考验的 VPN （包括但不限于 Tailscale 那种底层调用成品 VPN 的）安全性，多多少少会比某个小软件好一些

MFWT

22 小时 7 分钟前

而且 1111 这种密码基本上就是各大密码库常客了，和 123456 不分伯仲

jjrhlb

18 小时 33 分钟前

@MFWT 本来是用的组网工具，后来暴露在公网上了确实应该换个密码的😭

a1210968738

17 小时 55 分钟前

几年前的电脑也是开了 rdp 到公网中了勒索病毒文件全加密了，有没有 v 友知道这么多年了是否有可能解密回来？😂

proxytoworld

17 小时 12 分钟前

估计是自动加密的，黑客没有专门看你电脑，不然你公司电脑也会被感染

proxytoworld

17 小时 12 分钟前

@a1210968738 看什么家族吧，老美弄过解密工具应该是，部分家族可以解密