社区 › 电脑讨论(新) › win7勒索病毒情况

tanta 发表于 2022-9-16 16:17

win7勒索病毒情况

本帖最后由 tanta 于 2022-9-16 16:19 编辑

一win7电脑中勒索病毒，相关情况记载以下，给大家参考
1、win7电脑情况，开远程桌面，端口改掉了，裸奔，无杀毒软件。
2、本地磁盘1、3所有文件都被加密，后缀 devos。
3、本地磁盘2所有数据库相关文件加密（sql、mdb、db等），其他文件没事。
4、病毒进程为fast.exe，在C盘5处发现，停掉就没事了。
5、火绒能拦住勒索病毒。我另一电脑火绒报警，没事。
6、没浏览网页、无优盘，大概率是通过系统漏洞入侵，提醒大家及时打补丁。
7、ghost文件照样加密。

zsnw9527 发表于 2022-9-16 16:25

端口改掉了，还能中？ 我考[雷人]

buxiang110 发表于 2022-9-16 16:27

zsnw9527 发表于 2022-9-16 16:25
端口改掉了，还能中？ 我考

扫端口，现在的常规操作。要想避免，目前稍微安全的操作是动态开放端口，使用敲门脚本。否则就停用远程桌面。

it1771 发表于 2022-9-16 16:33

buxiang110 发表于 2022-9-16 16:27
扫端口，现在的常规操作。要想避免，目前稍微安全的操作是动态开放端口，使用敲门脚本。否则就停用远程桌 ...

目前用的win10 ltsc 2021 每周更新补丁改端口+验证3次错误封锁账号能拦住这种么还是这种利用的漏洞只要扫到端口就突破了 无视密码？

Ramiel 发表于 2022-9-16 16:38

it1771 发表于 2022-9-16 16:33
目前用的win10 ltsc 2021 每周更新补丁改端口+验证3次错误封锁账号能拦住这种么还是这种利用的漏洞只 ...

没用,并非通过账号验证

it1771 发表于 2022-9-16 16:41

Ramiel 发表于 2022-9-16 16:38
没用,并非通过账号验证

IPsec 连回家 再远程协助 这种方案 安全性更好一些？

Ramiel 发表于 2022-9-16 16:44

it1771 发表于 2022-9-16 16:41
IPsec 连回家 再远程协助 这种方案 安全性更好一些？

东西向只要确保win主机没有任何端口暴露在公网即可

Exfat 发表于 2022-9-16 16:46

rdp最好别开就算是向日葵之类的远程工具也是不安全的，rdp就算要开也最好配合虚拟专用网络使用

uuyyhhjj 发表于 2022-9-16 16:46

弱密码或者其他程序的端口吧，我winserver长期暴露公网没事，win10用了一次空密码24小时都没撑到就进来了，现在系统我测试下来是很安全了，自带防火墙别关，浏览器用chrome随便看，完全能裸奔，杀软我从WIN8开始就没装过了

yoloh 发表于 2022-9-16 16:48

搞不懂为啥非要裸奔？现在卡巴斯基都有免费版，据我个人在虚拟机里测试，能过卡巴免费版的病毒很少很少。

BetaHT 发表于 2022-9-16 17:33

zsnw9527 发表于 2022-9-16 16:25
端口改掉了，还能中？ 我考

改端口没用。要上强密码。

BetaHT 发表于 2022-9-16 17:33

yoloh 发表于 2022-9-16 16:48
搞不懂为啥非要裸奔？现在卡巴斯基都有免费版，据我个人在虚拟机里测试，能过卡巴免费版的病毒很少很少。 ...

杀软方面不得不说，360是强的。

BetaHT 发表于 2022-9-16 17:43

本帖最后由 BetaHT 于 2022-9-16 17:45 编辑

我也遇到过。因为数据多，被锁了大概30%文件后发现了，赶紧拔了电源。之后用备份做了恢复。

经验是：
windows的3389一定要设强密码。不需要时停掉RDP功能。
无人值守的电脑装杀软真不一定有用，脚本进来可能会手动把杀软关掉。（不过杀软都是要安装的，毕竟只是可能）
可以用端口转发功能自己做个网闸，按需开放。有的电信光猫自带的软件也支持虚拟服务器功能，一键开放端口，很方便。
自己可以写个程序，摆几个蜜罐，蜜罐损坏直接警告、关电源之类（结合编程插座，设想的）
挂载的NAS盘可以考虑数据权限控制，但嫌麻烦，没做。
数据安全只能靠多备份，3-2-1，备份数据要离线。

感觉和win7不一定有很大关系。

Roselle 发表于 2022-9-16 17:49

我win10也是长期暴露3389的，平均每秒好几个攻击，设置的强密码，目前3年多了吧，还没有失手

chen10247 发表于 2022-9-16 17:56

canonkong 发表于 2022-9-16 19:14

这个月初，公司的win10的机器和server2109服务器和NAS也中了勒索病毒，这些机器都安装了并开着向日葵...最后只能某宝找中介花了2.4万解了...

NEVERLANDCG 发表于 2022-9-16 20:10

canonkong 发表于 2022-9-16 19:14
这个月初，公司的win10的机器和server2109服务器和NAS也中了勒索病毒，这些机器都安装了并开着向日葵...最 ...

这些机器安装了什么杀毒软件？[震惊]

canonkong 发表于 2022-9-16 20:44

NEVERLANDCG 发表于 2022-9-16 20:10
这些机器安装了什么杀毒软件？

没装，只开启了windows defender。

nodlinxinyang 发表于 2022-9-16 21:09

应该是没打补丁吧，以前试过局域网用永恒之蓝入侵，还能找到好几台机子没打补丁 几句命令就拿到控制了

futurejl 发表于 2022-9-16 21:42

WIN10 开 设备加密 BITlocker 是否能防止这个病毒？

it1771 发表于 2022-9-16 21:57

futurejl 发表于 2022-9-16 21:42
WIN10 开 设备加密 BITlocker 是否能防止这个病毒？

没用 这个只防无授权访问 比如把硬盘拆下来放到其他电脑上访问。已经登陆的电脑 运行的病毒已经是授权状态了

wujiwu 发表于 2022-9-16 22:29

马克到时候研究一下，目前来说主要还是通过漏洞扫描被注入？

godlike007 发表于 2022-9-16 22:34

BetaHT 发表于 2022-9-16 17:33
杀软方面不得不说，360是强的。

wannacry当年冲爆国内高校，很多大学生电脑装360但没防住，毕设直接gg[偷笑]

lostgid 发表于 2022-9-16 22:39

路由器上添加了三个策略：单独访问3389、访问21, 22, 23等高危端口、或者有几秒之内访问端口太频繁的，都加到黑名单。因为我自己在公网不会使用这些端口的。
从实际数据来看，第二条规则的名单最多，3389其次，端口全部扫的最少。
半个月6000多条。

也一直在防备各种病毒，抛砖引玉。

ain 发表于 2022-9-16 23:43

说白了就是杀毒，防火墙很多，但是合适中国人习惯的基本么有
为什么大家不用，就是用的不舒服，或是遇到问题一样挂。

bbc131 发表于 2022-9-17 00:36

裸奔无法理解，裸奔的人都是IT高手吗？

chs 发表于 2022-9-17 02:35

多备份才是王道。

之前公司服务器中毒了，直接重装恢复数据。

大姨舅 发表于 2022-9-17 07:39

移动大内网会比公网ip安全一些吗

hayse 发表于 2022-9-17 16:08

补丁没打？防火墙也关了啊？密码强度够吗，看下日志吧。https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif

ddtl 发表于 2022-9-17 16:19

2022年了还有没打勒索补丁的win7?

查看完整版本: win7勒索病毒情况