V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
crazytudou
V2EX  ›  问与答

几台 win 服务器中了勒索病毒

  •  
  •   crazytudou · 2023-04-06 09:40:53 +08:00 · 3170 次点击
    这是一个创建于 605 天前的主题,其中的信息可能已经有所发展或是发生改变。

    桌面背景被替换为红底白字
    Your files were encrypted!
    please contact us for decryption. 盘中所有文件后缀被加上 [D821B074].[[email protected]].mkp
    没遇到这种情况,是否有专杀或其它方法解决?
    服务器放外面托管,现在有 2 台还能远程上,其它服务器密码都被改了,能远程的也很多操作不了,系统日志都没法看,服务器都有通过主路由禁上网,难道是同事安装破解软件问题

    24 条回复    2023-04-07 02:57:45 +08:00
    hefish
        1
    hefish  
       2023-04-06 09:42:08 +08:00
    如果已经重启过,基本无解。
    没重启的话,据说用反删除软件,可以找回一部分。
    fengleiyidao
        2
    fengleiyidao  
       2023-04-06 09:49:33 +08:00
    我记得一个讨论正版 ide 的帖子下面,很多人都说在公司也用盗版。
    我就挺震惊的,但凡出一次事,就是大事。
    pkoukk
        3
    pkoukk  
       2023-04-06 09:55:17 +08:00
    大概率是局域网内可以访问外网的机器被穿透了,做了跳板
    中勒索病毒是无解的,给钱基本也没戏
    datocp
        4
    datocp  
       2023-04-06 10:05:01 +08:00
    这个锅背定了。这种东西不是好几年前的嘛。
    没打补丁,没装杀毒软件,没做防火墙策略嘛。。。
    crazytudou
        5
    crazytudou  
    OP
       2023-04-06 10:16:25 +08:00
    @pkoukk 放机房里的,就这些服务器组的局域网,全都在路由上禁止访问外网了。现在也是没搞明白哪里来的
    documentzhangx66
        6
    documentzhangx66  
       2023-04-06 10:25:35 +08:00
    这种对公网提供服务的系统,还是装个 360 吧。
    HelloWorld556
        7
    HelloWorld556  
       2023-04-06 10:28:42 +08:00
    我们服务器装了 360 ,让人直接给关掉了。

    fastcgi.conf.id[4E42AFDD-2994].[[email protected]].phoenix
    pkoukk
        8
    pkoukk  
       2023-04-06 10:28:48 +08:00
    @crazytudou 办公网络的机器肯定可以访问这些服务器的吧?不然要服务器有啥用呢
    办公网络的机器中了毒,通过一些局域网漏洞拿到了服务器权限,上传了病毒。
    我们公司之前也遇到过,有一台办公网机器中毒,黑客用脚本扫到了局域网内服务器上的 redis 弱口令漏洞
    提权拿到了服务器权限,然后局域网扫描,服务器挂了一大片,最后紧急断电,中毒的机器格盘才解决
    leoleoleo
        9
    leoleoleo  
       2023-04-06 10:38:10 +08:00
    勒索大概率是无解的,不像其他病毒只是占用服务器资源挖矿或者作为肉鸡去搞 ddos 啥的,勒索就是用对称加密把你服务器上的文件进行加密,让你付钱来解密这些文件,之前有些勒索病毒可以被恢复是因为被发现把加密密钥留在中毒的服务器上了,所以只要确认了加密方法就能恢复,如果这个勒索病毒没把加密密钥留在你的服务器上,基本上无解。

    中病毒大概率几个途径,一种是远程访问对全互联网开放,而且用了弱口令或者是有重要的安全补丁没打;二是使用各类破解软件,软件自带的病毒;三是内网里有一台中招了,作为跳板在内部通过弱口令或者登录互信啥的互相感染。
    kokutou
        10
    kokutou  
       2023-04-06 10:42:14 +08:00
    平时不维护安全性方面, 一出问题就一锅端...
    hack
        11
    hack  
       2023-04-06 11:22:44 +08:00
    防火墙规则还是不严格啊,开个堡垒机,仅允许堡垒机做远程访问。内部网络的访问控制能有效降低横向攻击
    crazytudou
        12
    crazytudou  
    OP
       2023-04-06 11:54:24 +08:00
    @pkoukk 是的,路由器上做了远程的 NAT ,远程端口是改过的,办公室是通过远程桌面去安装维护,另外有个 centos 服务器提供了 www 服务,也是一样通过 NAT ,固定 IP 访问
    crazytudou
        13
    crazytudou  
    OP
       2023-04-06 11:55:30 +08:00
    @leoleoleo 可能真无解了,现在有另外两台 centos 用来放数据的,不敢用 Win 服务器去连接了,还不知道有没有问题,其它 win10 服务全中招了
    crazytudou
        14
    crazytudou  
    OP
       2023-04-06 11:56:46 +08:00
    @hack 这样确实可以降低风险,但目前还不知道哪里出的问题,服务器都是开放给其它同事在上面安装软件,这很难搞
    crab
        15
    crab  
       2023-04-06 13:45:05 +08:00
    第三方软件没从官网下载中招了吧。
    msg7086
        16
    msg7086  
       2023-04-06 13:52:57 +08:00
    开放的服务器还谈什么安全性,当成消耗品处理就行了,勒索了就全盘格调重装。
    zictos
        17
    zictos  
       2023-04-06 13:57:02 +08:00
    在英文网站或其他语言的网站下载东西要注意,以前就是担心安全性,所以用虚拟机下载并安装的,就遇到这个情况。

    相反中文网站几乎不会出现这么恶毒的病毒。
    opengps
        18
    opengps  
       2023-04-06 13:58:44 +08:00
    之前数据库服务器中过加密病毒。windows 在这个情况下有个优势是,文件可以被占用而不被第三方修改,所以当时直接另起一台还能吧数据库里的数据导出来,如果 linux 反而遇上就毁了
    nkidgm
        19
    nkidgm  
       2023-04-06 14:32:18 +08:00
    快照备份有无?

    异地备份有无?

    再不济,手工备份有无?

    服务器上面 135 137 138 139 445 1433 1434 1521 这些端口封了吗?
    zhaofy
        20
    zhaofy  
       2023-04-06 16:37:15 +08:00
    给钱,几年前我司是给了 1 个 btc ,数据都给恢复了。
    crazytudou
        21
    crazytudou  
    OP
       2023-04-06 16:45:41 +08:00
    @zhaofy 刚好这些服务器只是用来安装软件的,数据都不在这上面,影响倒不是大,就是得重装安装系统和软件费时间。
    1btc...那是你们数据值钱吧,我司应该 0.1 都不会给...
    passall
        22
    passall  
       2023-04-06 23:37:55 +08:00
    1btc 的数据都不备份?
    timjunk
        23
    timjunk  
       2023-04-07 00:44:55 +08:00
    其实还是有点机会的。。可以试试 no more ransomware project 或 bitdefender decryptor
    有些种类的已经有 decryptor 了,就会放在上面
    vibbow
        24
    vibbow  
       2023-04-07 02:57:45 +08:00 via Android   ❤️ 1
    处理过多起勒索病毒加密服务器

    已经被勒索的,要不然放弃数据,要不然找备份,要不然交钱。

    可以发邮件搞搞价,也可以发几个小文件,让对方先解密,证明对方有解密密钥。


    管理端口禁止国外 IP 连接可以解决 99%的问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2591 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 00:26 · PVG 08:26 · LAX 16:26 · JFK 19:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.