中招勒索病毒了
前几天远程用了一下win7虚拟机,开了端口忘记关,结果中招了,最牛逼的是为了方便,家里几台nas都用smb连着虚拟机,所以被一锅端了,十几T的东西,欲哭无泪 你的NAS都是win server? gxman 发表于 2020-11-20 08:11 前几天远程用了一下win7虚拟机,开了端口忘记关,结果中招了,最牛逼的是为了方便,家里几台nas都用smb连着虚拟机,所以被一锅端了,十几T的东西,欲哭无泪感觉是国内二道贩子弄的,告知文件英语拼写有语法错误,还另外修改了文件名,隐藏了加密文件的家族后缀,检查了一个中招的txt文件,有一部分显示正常,似乎是开头和结尾加了些二进制的数据,中间部分并没有动,这也解释了为何用性能低下的虚拟机几个小时就能感染全部文件。 Processed 发表于 2020-11-20 08:18 你的NAS都是win server?
群晖 gxman 发表于 2020-11-20 08:25
群晖
群晖搞那个快照了吗?试试看
—— 来自 Realme RMX1901, Android 10上的 S1Next-鹅版 v2.4.3 长末 发表于 2020-11-20 08:27 引用:gxman 发表于 2020-11-20 08:25 群晖 群晖搞那个快照了吗?试试看—— 来自 Realme RMX1901, Android 10上的 S1Next-鹅版 v2.4.3
没用那个,搞的raid,但raid不防病毒啊,待会准备用数据恢复软件看看删除的数据能不能恢复一些 我nas都是只读的,只开一个目录可写,然后时不时远程上去把可写目录里的东西挪走分类。 我对外只开wireguard
-- 来自 能手机投票的 Stage1官方 Android客户端 hftrrt 发表于 2020-11-20 08:45 关键还是设好权限,除了管理的设备,绝大部分设备给只读权限就够了
这个对,大意了 无印凉粉 发表于 2020-11-20 08:57 我挺好奇你们都上些什么网站啊,这么容易遇见勒索病毒。 假冒勒索病毒的骗子邮件我倒是见过不少。
勒索病毒一般不是靠邮件之类的,而是扫描端**力破解远程桌面密码,然后桌面环境手动下毒 先看看有没有现成的解密工具吧....
https://www.nomoreransom.org/en/decryption-tools.html
https://noransom.kaspersky.com/
https://lesuobingdu.360.cn/ 哈哈 几个月前长期开机开端口的win7就中招了,还好只是个视频播放机…
当时另一台文件共享的力气也没开机。
理论上如果不做整个分区网络映射的话,一台机不会搞成全毁。这个事只能是吸取教训了,外网访问还是需要加点验证门槛,要不就是裸奔… Benighted 发表于 2020-11-20 09:07 先看看有没有现成的解密工具吧.... https://www.nomoreransom.org/en/decryption-tools.html https://noransom.kaspersky.com/ https://lesuobingdu.360.cn/
谢了,这玩意的监测机制是后缀名,黑我这孙子加密完又把文件名改回去了,下了个360正一个个改后缀名试呢 nas小白问一下一般怎么看自己在外网暴露了哪些端口?我的群晖买回来也没咋设置 就是存各种视频live和剧 外网连回nas的话好像还要群晖的套件app 橋白 发表于 2020-11-20 11:06
nas小白问一下一般怎么看自己在外网暴露了哪些端口?我的群晖买回来也没咋设置 就是存各种视频live ...
装个nmap扫一下 lionheart 发表于 2020-11-20 11:27
装个nmap扫一下
是需要在不同的网络环境下扫自己的ip地址吗?
还是说内网环境找台电脑也行?
刚刚用nmap在内网扫了一下nas的192.168.x.x 发现好多端口露着 橋白 发表于 2020-11-20 11:46
是需要在不同的网络环境下扫自己的ip地址吗?
还是说内网环境找台电脑也行?
刚刚用nmap在内网扫了一下na ...
先确定下你的ISP有没有给你独立的公网IP,如果有的话从互联网扫描这个IP。 路由器建议关闭UPnP Benighted 发表于 2020-11-20 12:30
先确定下你的ISP有没有给你独立的公网IP,如果有的话从互联网扫描这个IP。 路由器建议关闭UPnP ...
刚才更新了一下群晖的系统,发现好像群晖是自己有组件查看外部端**露的,扫了一下我应该是没有啥问题 扫描端**力破解……这效率感觉也太低了吧&…… 445映射到公网?还是说3389被暴力破解了? Evilgurren 发表于 2020-11-20 13:14 445映射到公网?还是说3389被暴力破解了?
虚拟机3389映射到外网5****的端口,被扫描到了 还真有人扫外网非原始值的端口的啊?
我自己搭的http和l2tp协议都4~5年了,为就挺没感觉的呢… 我以前也用过RDP,不过我的Windows账户密码还是不短的,即便是这样我都害怕,毕竟RDP服务本身以前就爆过漏洞,比如bluekeep,利用漏洞的话就无所谓什么密码了,直接钻进系统里。 gxman 发表于 2020-11-20 08:25
感觉是国内二道贩子弄的,告知文件英语拼写有语法错误,还另外修改了文件名,隐藏了加密文件的家族后缀, ...
不是吧,加密了,给钱兴许还可以买回密钥解密数据;如果是把数据破坏了,那就坑了。
还有,我印象里当时wannacry就是分几步的,并不是第一轮就加密全部数据,所以效率源当初就搞过一个恢复工具。
说不定你这也是类似的情况。 本帖最后由 Xerxes_2 于 2020-11-20 15:10 编辑
我路由器的ssh对公网开放了两年,最近才发现
而且账号密码全是默认
—— 来自 OnePlus GM1910, Android 10上的 S1Next-鹅版 v2.4.3 远程桌面执行漏洞,了解一下,破解什么密码,完全不需要~
—— 来自 Xiaomi Redmi K20 Pro Premium Edition, Android 10上的 S1Next-鹅版 v2.4.3 所以说不打补丁,还用win7 是几个意思 还有,多年以前,有人给过一个建议(现在说大概迟了),就是中勒索后,不要杀毒也不要重启,要尽量保留现场,用任务管理器、procexp之类的工具把内存dump出来。(睡眠大概也是同理)
https://www.zhihu.com/question/46715248/answer/112125941
这个思路很像是针对bitlocker的冷启动攻击。原理是勒索病毒在执行加密时,一般要用到对称加密算法,因为加密也是靠软件(CPU)运算完成的,所以理论上,以及实验环境里,系统内存里可以直接挖到明文的密钥。
但是,实际上这个思路能救回数据的希望还是很渺茫,因为病毒在加密完成后还是会在内存里清除掉密钥。现实里等到受害者发现中招,一般加密都已经完成了,明文的对称密钥已经被清除,能找到的密钥都是用RSA之类非对称加密过的,这样只有攻击者才可以解密,还是免不了要交钱,或者放弃。而且就像wannacry那样的勒索,每加密一个文件都会换一个对称密钥,这样即便是侥幸挖到一个密钥,也是杯水车薪。 所以就只开几个HTTPS的服务,每个都有独立登录页面,如果有漏洞也就认了
只有Transmission不能跑在HTTPS上,只好用Nginx做了个HTTPS的反代
3389还是算了,留给Wireguard吧
敢将远程桌面端口对外开放的只能说牛逼了,你哪怕弄个pptp连接过来再远程也比直接开放端口安全
----发送自 STAGE1 App for Android. 啊我跟楼主很像!我也是外网3xxx端口映射到内网3389的虚拟机了。虚拟机是win10 ltsc,会容易中招吗。我赶紧先把虚拟机到群晖的smb关了先。。。
页:
[1]
2