[急] 求助关于勒索病毒的问题

事件描述： 4.16 日发现服务器中了勒索病毒。自己从服务器拷贝下来加密后的文件样本，找到专业网站上传进行鉴别。发现是目前不可解密的勒索病毒。

今天在自己电脑找文件的时候发现个别文件（不同目录下的 5 个文件）变成了上次那种加密文件。而且和上次从服务器拷贝出来的样本后缀是一样的。

刚刚用 360 查杀了一遍，没有发现问题。

现在有点害怕，自己电脑的其他文件会不会也被即将加密？

图 1 是回收站自己出现的文件。图 2 是电脑中被加密的文件。

提前感谢各位！

matrix67

2021-05-20 21:44:31 +08:00

你这个服务器是 linux 服务器还是 windows 服务器。linux 的可执行文件拿到 win 上理论上讲运行不了（当然运河不知道现在有没有二进制混合技术能够同时在两种系统上运行的）。

windows 服务器的话，只能说楼主心真大。。赶紧先进 pe 系统备份数据。。

jokerstep

2021-05-21 10:14:50 +08:00

勒索病毒完成加密后有自删除功能，建议排查一下注册表里自启动项，单位应该都买了硬件安全设备，IPS 之类的，可以看看日志通过什么渠道传播的，如果数据没有备份的话，尽快备份数据，然后先 down 掉 445 端口，修改 RD 端口，修改密码，最后再考虑查杀或者格盘的问题

timi

2021-05-21 14:04:11 +08:00

拷贝出来的文件样本一般不会有传播性，本机的可能只是巧合，可以先备份重要数据，装个 everything 全盘搜一下类似的文件有多少，多找几个杀毒软件杀一下

kensin

2021-05-22 09:32:20 +08:00

@matrix67 @jokerstep @proxytoworld @timi @Chenamy2017
感谢各位大佬！
目前用 360 强力查杀模式没有发现勒索病毒。
经过回想，当天远程登录 windows 服务器的时候默认挂载了 E 盘，估计是这个原因导致 E 盘部分文件被加密。

感谢大家！

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/778227

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.