Chiphell - 分享与交流用户体验

标题: win7勒索病毒情况 [打印本页]

作者: tanta 时间: 2022-9-16 16:17
标题: win7勒索病毒情况
本帖最后由 tanta 于 2022-9-16 16:19 编辑

一win7电脑中勒索病毒，相关情况记载以下，给大家参考
1、win7电脑情况，开远程桌面，端口改掉了，裸奔，无杀毒软件。
2、本地磁盘1、3所有文件都被加密，后缀 devos。
3、本地磁盘2所有数据库相关文件加密（sql、mdb、db等），其他文件没事。
4、病毒进程为fast.exe，在C盘5处发现，停掉就没事了。
5、火绒能拦住勒索病毒。我另一电脑火绒报警，没事。
6、没浏览网页、无优盘，大概率是通过系统漏洞入侵，提醒大家及时打补丁。
7、ghost文件照样加密。

作者: zsnw9527 时间: 2022-9-16 16:25
端口改掉了，还能中？我考

作者: buxiang110 时间: 2022-9-16 16:27

zsnw9527 发表于 2022-9-16 16:25
端口改掉了，还能中？我考

扫端口，现在的常规操作。要想避免，目前稍微安全的操作是动态开放端口，使用敲门脚本。否则就停用远程桌面。

作者: it1771 时间: 2022-9-16 16:33

buxiang110 发表于 2022-9-16 16:27
扫端口，现在的常规操作。要想避免，目前稍微安全的操作是动态开放端口，使用敲门脚本。否则就停用远程桌 ...

目前用的win10 ltsc 2021 每周更新补丁改端口+验证3次错误封锁账号能拦住这种么还是这种利用的漏洞只要扫到端口就突破了无视密码？

作者: Ramiel 时间: 2022-9-16 16:38

it1771 发表于 2022-9-16 16:33
目前用的win10 ltsc 2021 每周更新补丁改端口+验证3次错误封锁账号能拦住这种么还是这种利用的漏洞只 ...

没用,并非通过账号验证

作者: it1771 时间: 2022-9-16 16:41

Ramiel 发表于 2022-9-16 16:38
没用,并非通过账号验证

IPsec 连回家再远程协助这种方案安全性更好一些？

作者: Ramiel 时间: 2022-9-16 16:44

it1771 发表于 2022-9-16 16:41
IPsec 连回家再远程协助这种方案安全性更好一些？

东西向只要确保win主机没有任何端口暴露在公网即可

作者: Exfat 时间: 2022-9-16 16:46
rdp最好别开就算是向日葵之类的远程工具也是不安全的，rdp就算要开也最好配合虚拟专用网络使用

作者: uuyyhhjj 时间: 2022-9-16 16:46
弱密码或者其他程序的端口吧，我winserver长期暴露公网没事，win10用了一次空密码24小时都没撑到就进来了，现在系统我测试下来是很安全了，自带防火墙别关，浏览器用chrome随便看，完全能裸奔，杀软我从WIN8开始就没装过了

作者: yoloh 时间: 2022-9-16 16:48
搞不懂为啥非要裸奔？现在卡巴斯基都有免费版，据我个人在虚拟机里测试，能过卡巴免费版的病毒很少很少。

作者: BetaHT 时间: 2022-9-16 17:33

zsnw9527 发表于 2022-9-16 16:25
端口改掉了，还能中？我考

改端口没用。要上强密码。

作者: BetaHT 时间: 2022-9-16 17:33

yoloh 发表于 2022-9-16 16:48
搞不懂为啥非要裸奔？现在卡巴斯基都有免费版，据我个人在虚拟机里测试，能过卡巴免费版的病毒很少很少。 ...

杀软方面不得不说，360是强的。

作者: BetaHT 时间: 2022-9-16 17:43
本帖最后由 BetaHT 于 2022-9-16 17:45 编辑

我也遇到过。因为数据多，被锁了大概30%文件后发现了，赶紧拔了电源。之后用备份做了恢复。

经验是：
windows的3389一定要设强密码。不需要时停掉RDP功能。
无人值守的电脑装杀软真不一定有用，脚本进来可能会手动把杀软关掉。（不过杀软都是要安装的，毕竟只是可能）
可以用端口转发功能自己做个网闸，按需开放。有的电信光猫自带的软件也支持虚拟服务器功能，一键开放端口，很方便。
自己可以写个程序，摆几个蜜罐，蜜罐损坏直接警告、关电源之类（结合编程插座，设想的）
挂载的NAS盘可以考虑数据权限控制，但嫌麻烦，没做。
数据安全只能靠多备份，3-2-1，备份数据要离线。

感觉和win7不一定有很大关系。

作者: Roselle 时间: 2022-9-16 17:49
我win10也是长期暴露3389的，平均每秒好几个攻击，设置的强密码，目前3年多了吧，还没有失手

作者: chen10247 时间: 2022-9-16 17:56
提示: 作者被禁止或删除内容自动屏蔽

作者: canonkong 时间: 2022-9-16 19:14
这个月初，公司的win10的机器和server2109服务器和NAS也中了勒索病毒，这些机器都安装了并开着向日葵...最后只能某宝找中介花了2.4万解了...

作者: NEVERLANDCG 时间: 2022-9-16 20:10

canonkong 发表于 2022-9-16 19:14
这个月初，公司的win10的机器和server2109服务器和NAS也中了勒索病毒，这些机器都安装了并开着向日葵...最 ...

这些机器安装了什么杀毒软件？

作者: canonkong 时间: 2022-9-16 20:44

NEVERLANDCG 发表于 2022-9-16 20:10
这些机器安装了什么杀毒软件？

没装，只开启了windows defender。

作者: nodlinxinyang 时间: 2022-9-16 21:09
应该是没打补丁吧，以前试过局域网用永恒之蓝入侵，还能找到好几台机子没打补丁几句命令就拿到控制了

作者: futurejl 时间: 2022-9-16 21:42
WIN10 开设备加密 BITlocker 是否能防止这个病毒？

作者: it1771 时间: 2022-9-16 21:57

futurejl 发表于 2022-9-16 21:42
WIN10 开设备加密 BITlocker 是否能防止这个病毒？

没用这个只防无授权访问比如把硬盘拆下来放到其他电脑上访问。已经登陆的电脑运行的病毒已经是授权状态了

作者: wujiwu 时间: 2022-9-16 22:29
马克到时候研究一下，目前来说主要还是通过漏洞扫描被注入？

作者: godlike007 时间: 2022-9-16 22:34

BetaHT 发表于 2022-9-16 17:33
杀软方面不得不说，360是强的。

wannacry当年冲爆国内高校，很多大学生电脑装360但没防住，毕设直接gg

作者: lostgid 时间: 2022-9-16 22:39
路由器上添加了三个策略：单独访问3389、访问21, 22, 23等高危端口、或者有几秒之内访问端口太频繁的，都加到黑名单。因为我自己在公网不会使用这些端口的。
从实际数据来看，第二条规则的名单最多，3389其次，端口全部扫的最少。
半个月6000多条。
(, 下载次数: 79)
也一直在防备各种病毒，抛砖引玉。

作者: ain 时间: 2022-9-16 23:43
说白了就是杀毒，防火墙很多，但是合适中国人习惯的基本么有
为什么大家不用，就是用的不舒服，或是遇到问题一样挂。

作者: bbc131 时间: 2022-9-17 00:36
裸奔无法理解，裸奔的人都是IT高手吗？

作者: chs 时间: 2022-9-17 02:35
多备份才是王道。

之前公司服务器中毒了，直接重装恢复数据。

作者: 大姨舅 时间: 2022-9-17 07:39
移动大内网会比公网ip安全一些吗

作者: hayse 时间: 2022-9-17 16:08
补丁没打？防火墙也关了啊？密码强度够吗，看下日志吧。

作者: ddtl 时间: 2022-9-17 16:19
2022年了还有没打勒索补丁的win7?

作者: chainofhonor 时间: 2022-9-17 16:34

it1771 发表于 2022-9-16 16:33
目前用的win10 ltsc 2021 每周更新补丁改端口+验证3次错误封锁账号能拦住这种么还是这种利用的漏洞只 ...

防火墙弄严格点不认识的端口一律不开
然后密码复杂点基本就没事了
windows系统并没有那么脆弱

作者: 声色茶马 时间: 2022-9-17 16:51

大姨舅发表于 2022-9-17 07:39
移动大内网会比公网ip安全一些吗

我个人认为大内网会比公网安全很多。

作者: hasuboy 时间: 2022-9-19 12:00
远程桌面没事不要乱开，勒索病毒就是专搞开远程桌面的，确实要开只改端口是没用的，必须上强密码，或者你的防火墙端设IP白名单。

作者: wolfpan 时间: 2022-9-19 12:27
RDP，SSH远程和FTP不要乱开，改了端口也没用。
公司的网刚被护网行动2022的红军攻破，域控制器的管理员密码都被偷了，直接把密码明文甩你脸上，系统有漏洞，多复杂的密码都没用。
微软补丁一定要勤于更新。

作者: NEVERLANDCG 时间: 2022-9-19 22:18

canonkong 发表于 2022-9-16 19:14
这个月初，公司的win10的机器和server2109服务器和NAS也中了勒索病毒，这些机器都安装了并开着向日葵...最 ...

看到一篇报道，的确是2万多勒索金：

近日，国内某知名财务软件0day漏洞或被大规模勒索利用。短短一天时间，确认来自于同个勒索病毒的攻击案例已超2000余例，且数量正呈不断上升趋势。受灾企业被要求向攻击者支付0.2BTC（约合人民币2.8万元）……

2022-09-15《勒索病毒防不住？“动态安全防御”+“关键数据备份”两手抓》
https://www.sohu.com/a/585201368_120846244

(, 下载次数: 60)

作者: hasuboy 时间: 2022-9-20 11:53
嗅探软件都是1-65535挨个扫描的，只要扫到你某个端口是开着的，接着就扫对应的服务。系统不打补丁底层有漏洞多复杂的密码都没用。楼主这种个人电脑说白了就是被脚本扫到的，裸奔又映射端口。重要的服务器我的建议是最好不要映射远程桌面的端口，**相对来安全得多。

作者: colo 时间: 2022-9-20 14:55
互联网暴露面是不能随便开的，除非要对外开服务，否则进内网一律走威批恩通道

作者: 翰墨留香 时间: 2022-9-20 19:05

NEVERLANDCG 发表于 2022-9-19 22:18
看到一篇报道，的确是2万多勒索金：

近日，国内某知名财务软件0day漏洞或被大规模勒索利用。短短一天时 ...

这个我们单位前两天还发通知了，说近期不让用了

(, 下载次数: 46)

作者: qiaozd 时间: 2022-9-20 19:27
同样win7 SP1 ，mstsc端口映射公网为另外的端口，用todesk或者mstsc访问，共享盘权限都是everyone完全控制

作者: hasuboy 时间: 2022-9-21 09:56

qiaozd 发表于 2022-9-20 19:27
同样win7 SP1 ，mstsc端口映射公网为另外的端口，用todesk或者mstsc访问，共享盘权限都是everyone完全控制 ...

兄弟不是我咒你，你这样是迟早的事

作者: wan13799433 时间: 2022-9-21 14:09
大哥我移动宽带，无公网ip，有一台下载机，win10lisc开了远程，只在内网远程，会中标吗

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)