几台 win 服务器中了勒索病毒

2023-04-06 09:40:53 +08:00
 crazytudou

桌面背景被替换为红底白字
Your files were encrypted!
please contact us for decryption. 盘中所有文件后缀被加上 [D821B074].[Nergontr96@cyberfear.com].mkp
没遇到这种情况,是否有专杀或其它方法解决?
服务器放外面托管,现在有 2 台还能远程上,其它服务器密码都被改了,能远程的也很多操作不了,系统日志都没法看,服务器都有通过主路由禁上网,难道是同事安装破解软件问题

3204 次点击
所在节点    问与答
24 条回复
hefish
2023-04-06 09:42:08 +08:00
如果已经重启过,基本无解。
没重启的话,据说用反删除软件,可以找回一部分。
fengleiyidao
2023-04-06 09:49:33 +08:00
我记得一个讨论正版 ide 的帖子下面,很多人都说在公司也用盗版。
我就挺震惊的,但凡出一次事,就是大事。
pkoukk
2023-04-06 09:55:17 +08:00
大概率是局域网内可以访问外网的机器被穿透了,做了跳板
中勒索病毒是无解的,给钱基本也没戏
datocp
2023-04-06 10:05:01 +08:00
这个锅背定了。这种东西不是好几年前的嘛。
没打补丁,没装杀毒软件,没做防火墙策略嘛。。。
crazytudou
2023-04-06 10:16:25 +08:00
@pkoukk 放机房里的,就这些服务器组的局域网,全都在路由上禁止访问外网了。现在也是没搞明白哪里来的
documentzhangx66
2023-04-06 10:25:35 +08:00
这种对公网提供服务的系统,还是装个 360 吧。
HelloWorld556
2023-04-06 10:28:42 +08:00
我们服务器装了 360 ,让人直接给关掉了。

fastcgi.conf.id[4E42AFDD-2994].[st3v3njansen@onionmail.org].phoenix
pkoukk
2023-04-06 10:28:48 +08:00
@crazytudou 办公网络的机器肯定可以访问这些服务器的吧?不然要服务器有啥用呢
办公网络的机器中了毒,通过一些局域网漏洞拿到了服务器权限,上传了病毒。
我们公司之前也遇到过,有一台办公网机器中毒,黑客用脚本扫到了局域网内服务器上的 redis 弱口令漏洞
提权拿到了服务器权限,然后局域网扫描,服务器挂了一大片,最后紧急断电,中毒的机器格盘才解决
leoleoleo
2023-04-06 10:38:10 +08:00
勒索大概率是无解的,不像其他病毒只是占用服务器资源挖矿或者作为肉鸡去搞 ddos 啥的,勒索就是用对称加密把你服务器上的文件进行加密,让你付钱来解密这些文件,之前有些勒索病毒可以被恢复是因为被发现把加密密钥留在中毒的服务器上了,所以只要确认了加密方法就能恢复,如果这个勒索病毒没把加密密钥留在你的服务器上,基本上无解。

中病毒大概率几个途径,一种是远程访问对全互联网开放,而且用了弱口令或者是有重要的安全补丁没打;二是使用各类破解软件,软件自带的病毒;三是内网里有一台中招了,作为跳板在内部通过弱口令或者登录互信啥的互相感染。
kokutou
2023-04-06 10:42:14 +08:00
平时不维护安全性方面, 一出问题就一锅端...
hack
2023-04-06 11:22:44 +08:00
防火墙规则还是不严格啊,开个堡垒机,仅允许堡垒机做远程访问。内部网络的访问控制能有效降低横向攻击
crazytudou
2023-04-06 11:54:24 +08:00
@pkoukk 是的,路由器上做了远程的 NAT ,远程端口是改过的,办公室是通过远程桌面去安装维护,另外有个 centos 服务器提供了 www 服务,也是一样通过 NAT ,固定 IP 访问
crazytudou
2023-04-06 11:55:30 +08:00
@leoleoleo 可能真无解了,现在有另外两台 centos 用来放数据的,不敢用 Win 服务器去连接了,还不知道有没有问题,其它 win10 服务全中招了
crazytudou
2023-04-06 11:56:46 +08:00
@hack 这样确实可以降低风险,但目前还不知道哪里出的问题,服务器都是开放给其它同事在上面安装软件,这很难搞
crab
2023-04-06 13:45:05 +08:00
第三方软件没从官网下载中招了吧。
msg7086
2023-04-06 13:52:57 +08:00
开放的服务器还谈什么安全性,当成消耗品处理就行了,勒索了就全盘格调重装。
zictos
2023-04-06 13:57:02 +08:00
在英文网站或其他语言的网站下载东西要注意,以前就是担心安全性,所以用虚拟机下载并安装的,就遇到这个情况。

相反中文网站几乎不会出现这么恶毒的病毒。
opengps
2023-04-06 13:58:44 +08:00
之前数据库服务器中过加密病毒。windows 在这个情况下有个优势是,文件可以被占用而不被第三方修改,所以当时直接另起一台还能吧数据库里的数据导出来,如果 linux 反而遇上就毁了
nkidgm
2023-04-06 14:32:18 +08:00
快照备份有无?

异地备份有无?

再不济,手工备份有无?

服务器上面 135 137 138 139 445 1433 1434 1521 这些端口封了吗?
zhaofy
2023-04-06 16:37:15 +08:00
给钱,几年前我司是给了 1 个 btc ,数据都给恢复了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/930144

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX