Chiphell - 分享与交流用户体验

标题: 求助：今天中了勒索病毒 elbie [打印本页]

作者: wangmice 时间: 2022-11-19 15:46
标题: 求助：今天中了勒索病毒 elbie
求助：今天中了勒索病毒 elbie
所有文件都被加密了，求助热心人

作者: ylgtx 时间: 2022-11-19 15:53
这个好像无解。东西不重要的话就全盘格式化

作者: wangmice 时间: 2022-11-19 15:59
有恢复数据的能恢复，我发了个小文件给他，好像成功了，但是报价98000

作者: yourfei 时间: 2022-11-19 16:01
怎么中的呢？win10自带的防病毒都防不住？

作者: 辉丫头 时间: 2022-11-19 16:04
给你留邮箱了吧，砍砍价，砍不下来就骂两句

作者: wangmice 时间: 2022-11-19 16:26
开了远程桌面

作者: 声色茶马 时间: 2022-11-19 16:34

wangmice 发表于 2022-11-19 16:26
开了远程桌面

近期CHH好几个因为这远程桌面中招的了。

作者: 大地飞鹰 时间: 2022-11-19 16:42
远程桌面不要时时开着呀

作者: nodlinxinyang 时间: 2022-11-19 16:43
公网开了3389吧有漏洞入侵的，密码改了是没毛用的，弄台黑群晖做备份吧我以前也吃过这个亏

作者: yufeiyuejs 时间: 2022-11-19 16:44
啥远程桌面

作者: wangmice 时间: 2022-11-19 16:45

nodlinxinyang 发表于 2022-11-19 16:43
公网开了3389吧有漏洞入侵的，密码改了是没毛用的，弄台黑群晖做备份吧我以前也吃过这个亏 ...

改了端口的，没卵用

作者: sufue7395 时间: 2022-11-19 16:48
无解，格式化硬盘吧

作者: ghwwx 时间: 2022-11-19 16:49
没有用的。我之前也中过。好在中毒之前刚刚把RAID 1升级过。直接把原来盘里面的内容恢复了。

中毒后，就直接格式化了/

作者: weskylixiaofeng 时间: 2022-11-19 16:56
没中可以防，中了就认栽

作者: karaki 时间: 2022-11-19 17:06
感谢提醒，已经把远程桌面给关掉了

作者: nodlinxinyang 时间: 2022-11-19 17:10

wangmice 发表于 2022-11-19 16:45
改了端口的，没卵用

肯定没用，扫肉鸡的时候全端口都扫过去了，以前坛子里还有人说改端口号有用，要远程目前我只有V某N回去在连

作者: su2353 时间: 2022-11-19 17:12

wangmice 发表于 2022-11-19 15:59
有恢复数据的能恢复，我发了个小文件给他，好像成功了，但是报价98000

那病毒作者要多少钱呢?

作者: fallible 时间: 2022-11-19 17:13

karaki 发表于 2022-11-19 17:06
感谢提醒，已经把远程桌面给关掉了

远程桌面在哪关啊

作者: lgblee 时间: 2022-11-19 18:13
elbie 读音像耳鼻

作者: Attack_on_Pig 时间: 2022-11-19 18:48
远程桌面不要暴露在公网，在内网里开层代理，连上了再远程内网里的机器

作者: 观望者 时间: 2022-11-19 18:54
放弃治疗吧

作者: kingw12 时间: 2022-11-19 19:01
用的弱密码?

作者: karaki 时间: 2022-11-19 19:09

fallible 发表于 2022-11-19 17:13
远程桌面在哪关啊

windows搜索里搜，远程桌面设置，有个开关

作者: RedMomoe 时间: 2022-11-19 19:13
提示: 作者被禁止或删除内容自动屏蔽

作者: ntuchenxy 时间: 2022-11-19 19:13
恢复数据的能搞定，那就是一伙儿的

作者: 白嫖圣王 时间: 2022-11-19 19:15
提示: 作者被禁止或删除内容自动屏蔽

作者: luhai83 时间: 2022-11-19 20:02
我同事说某国企中了这种病毒，然后没法付钱出去（体制内的哪个领导敢签字批这个付款啊）
然后现在真就整个数据库没了，连备份服务器因为不是冷备份，在线的，也没了，一点办法都没有。

作者: yourfei 时间: 2022-11-19 20:17

luhai83 发表于 2022-11-19 20:02
我同事说某国企中了这种病毒，然后没法付钱出去（体制内的哪个领导敢签字批这个付款啊）
然后现在真就整个 ...

只能说这个部门有点轴，其实可以找个数据恢复的公司，以数据恢复的名义走账就是了。

作者: luhai83 时间: 2022-11-19 20:23

yourfei 发表于 2022-11-19 20:17
只能说这个部门有点轴，其实可以找个数据恢复的公司，以数据恢复的名义走账就是了。 ...

不是一个部门，是一整个公司的云电脑主机都挂了。
就是仿华为那种模式，上班打工人用的pc是瘦客户机，然后用远程连接连到自己的云主机开始搬砖写代码的模式。

作者: hlhaidy 时间: 2022-11-19 20:52
没有杀软？没打补丁？

作者: yourfei 时间: 2022-11-19 20:58

luhai83 发表于 2022-11-19 20:23
不是一个部门，是一整个公司的云电脑主机都挂了。
就是仿华为那种模式，上班打工人用的pc是瘦客户机，然 ...

用瘦客户机，不做好防护，那就是自己的问题了。。。。这种集中式的一定要做好防护。

作者: yourfei 时间: 2022-11-19 20:59

zero7rainbow 发表于 2022-11-19 20:35
你可能不知道现在对国企的审计有多严格。按理说发生了这事，得先跟网警和网信办报，按商讨后的处置意见办 ...

其实还是要看数据有多重要，重要到一定程度，什么都可以解决。

作者: 纯属开玩笑 时间: 2022-11-19 21:10
吓的我赶紧开启STCP模式~

作者: xiao911 时间: 2022-11-19 21:38
可以先去反勒索网站上看看有没有解决方案。至少也可以上传个勒索文件来帮助解析与防范。

https://www.nomoreransom.org/crypto-sheriff.php?lang=zh

作者: 寒山湖 时间: 2022-11-19 21:38
我赶紧取出一块硬盘冷备份了nas里的照片。

作者: hayse 时间: 2022-11-19 21:46
好奇用的什么系统什么环境，防火墙，安全软件什么样的，密码强度怎么样。是不是装了很多奇怪的破解软件

作者: 958813826 时间: 2022-11-19 22:05
你这个也是够背的我NAS直接开了外网禁用反正我NAS只在家里存电影照片什么的不需要外网访问

作者: xsc544848031 时间: 2022-11-19 22:17
今年年初的时候也因为开了远程桌面中了勒索病毒，多亏有快照，数据没损失

作者: wangmice 时间: 2022-11-19 22:44
就是win11最新版，自带的杀软。

作者: lovest 时间: 2022-11-19 23:12
前些日子把公司里所有服务器的外网访问都关了，通过frp加端口来用远程桌面，所有其他需要外网连的端口也都通过frp来中转下。默认用户名也改掉administrator，同时用群晖每天一次备份，群晖又连百度云上再做个备份，这样因该好一些吧。这些年就中过一次勒索，不过还好服务器没什么重要资料，格式化解决。

作者: gaoyi124 时间: 2022-11-19 23:13
这个价格还真不便宜,我有个朋友做数据恢复,要不你发给我个文件,我让朋友给你报个价?

作者: 刹之那 时间: 2022-11-19 23:16

yourfei 发表于 2022-11-19 20:17
只能说这个部门有点轴，其实可以找个数据恢复的公司，以数据恢复的名义走账就是了。 ...

国企你敢这样玩，早就被关进去了，我就是做审计的……

作者: wangmice 时间: 2022-11-19 23:18

gaoyi124 发表于 2022-11-19 23:13
这个价格还真不便宜,我有个朋友做数据恢复,要不你发给我个文件,我让朋友给你报个价? ...

文件怎么传？

作者: gartour 时间: 2022-11-19 23:23
远程桌面映射到外部端口我以前也干过，也改了端口。当时听人说这么做就比较安全了。

但用了一段时间发现一些可疑的痕迹。挂的bitcomet有不太正常的行为，具体表现忘了，总之当时觉得疑似被下马了，又过了一段时间远程桌面密码被改了。然后马上重装系统，再也不开外网远程桌面了。

作者: gaoyi124 时间: 2022-11-19 23:28

wangmice 发表于 2022-11-19 23:18
文件怎么传？

发我邮箱吧,gaoyi124@hotmail.com,文件用附件就行

作者: yourfei 时间: 2022-11-19 23:48

刹之那发表于 2022-11-19 23:16
国企你敢这样玩，早就被关进去了，我就是做审计的……

那做数据恢复也不能做是吧？

作者: Satan023 时间: 2022-11-20 00:00
我那台腾讯云服务器每天都有几百个登录，刚配置ssh秘钥登录把密码登录关了，把icmp、80、3389也关了。现在在装fail2ban。
我特码的这群狗逼真的该死。

作者: dreamz3 时间: 2022-11-20 09:10
提示: 作者被禁止或删除内容自动屏蔽

作者: 哗啦哗啦 时间: 2022-11-20 10:22
docker装个Guacamole

作者: 刹之那 时间: 2022-11-20 10:24

yourfei 发表于 2022-11-19 23:48
那做数据恢复也不能做是吧？

数据恢复跟勒索能是一个东西么，数据恢复是你硬盘挂了，勒索可不是

就算硬盘挂了，如果你没按照规定做备份，那也是你的责任，除非你按要求做了备份，然后备份全挂了，这种时候只能说运气不好，可以做数据恢复，也没人担责

作者: woodsany 时间: 2022-11-20 11:10

声色茶马发表于 2022-11-19 16:34
近期CHH好几个因为这远程桌面中招的了。

远程桌面怎么下的蛊啊？复制病毒到本地，屏蔽你的杀软，再给你运行？

作者: zouruii 时间: 2022-11-20 11:15

su2353 发表于 2022-11-19 17:12
那病毒作者要多少钱呢?

勒索病毒的加密，是无解的，作者只是要钱，他自己也解不了

作者: louis2005 时间: 2022-11-20 11:48

karaki 发表于 2022-11-19 17:06
感谢提醒，已经把远程桌面给关掉了

怎么关啊

作者: luhai83 时间: 2022-11-20 12:49

yourfei 发表于 2022-11-19 23:48
那做数据恢复也不能做是吧？

他的意思是，你不能用A的名义去做B的事情，不然被审计抓住就进去了。
这在本质上就是挪用公款。当然也确实存在很多挪了没被抓的，但人家冒着违法的风险干这个事情是为了自己捞钱，凭啥为挽回公家损失自己违法啊。

作者: wangmice 时间: 2022-11-20 13:10
怎么感觉这个远程桌面改底端口和强密码都没作用呢？

作者: 摩托书生 时间: 2022-11-20 13:17

zouruii 发表于 2022-11-20 11:15
勒索病毒的加密，是无解的，作者只是要钱，他自己也解不了

他不是犯罪？

作者: xd809607 时间: 2022-11-20 13:19
我啥都没搞，应该搞不到我头上

作者: hayse 时间: 2022-11-20 16:57

wangmice 发表于 2022-11-20 13:10
怎么感觉这个远程桌面改底端口和强密码都没作用呢？

正常系统打补丁，有防火墙的话没这么容易中招，我用好几年了，从没出问题。日志里尝试连接的记录倒是一大堆

建议从自己系统里装的软件服务是否有漏洞入手哦

作者: pc_based 时间: 2022-11-20 17:22
敢开远程桌面的都是勇士

作者: cl12121 时间: 2022-11-20 17:40
开了几年了，没有问题，server 2012

作者: kumitom 时间: 2022-11-20 17:41
我公司远程桌面都是用teamviewer，设置好白名单。
系统自带的不敢用

作者: 水滴 时间: 2022-11-20 17:53

yourfei 发表于 2022-11-19 16:01
怎么中的呢？win10自带的防病毒都防不住？

自带就只能给你心理上的安全，保险点只有 360 广告关了即可，什么火绒这些更扯淡的

作者: 水滴 时间: 2022-11-20 17:53

白嫖圣王发表于 2022-11-19 19:15
看来普通用户还是用360省心。

不火绒就是天，要有信仰

作者: yourfei 时间: 2022-11-20 22:31

luhai83 发表于 2022-11-20 12:49
他的意思是，你不能用A的名义去做B的事情，不然被审计抓住就进去了。
这在本质上就是挪用公款。当然也确 ...

算了，他说是什么就是什么吧，我的本意是为了能挽回数据损失，如果是重点单位，数据才是最值钱的，可能数据价值远远超过勒索的钱，如果什么都讲合规那就不用做事了。
当年瓦格良号搞回来就是合规合法的？几个亿的资金。如果没有当时那些能挑担子的人，我们国家的航母能这么快出来？

作者: yourfei 时间: 2022-11-20 22:32

刹之那发表于 2022-11-19 23:16
国企你敢这样玩，早就被关进去了，我就是做审计的……

是的，你们审计厉害，所以就都不做事，少做事少犯错

作者: 声色茶马 时间: 2022-11-20 22:36

woodsany 发表于 2022-11-20 11:10
远程桌面怎么下的蛊啊？复制病毒到本地，屏蔽你的杀软，再给你运行？

我原来觉得，要么是被暴力破了密码，要么是补丁打得不及时被偷鸡两种。

但是不久前看到本站有帖子说自己是强密码，补丁也都打了，还是被下蛊——我就不敢肯定了。难道还有什么别的窟窿？不过也有人评论说他一定是运行了什么不该运行的脏东西，这种事咱也确定不了。

作者: hsy-x 时间: 2022-11-20 23:55

yourfei 发表于 2022-11-19 16:01
怎么中的呢？win10自带的防病毒都防不住？

卡饭上测试未打系统补丁未更新病毒库的情况下好像是只有卡巴和BD 防住了勒索。。。。

作者: han2047 时间: 2022-11-21 00:06
如果连公网IP都没有应该不用怕这个吧

作者: presolo 时间: 2022-11-21 02:10
用了多年的远程桌面,就一次中招 . 因为当时用了乱七八糟的软件, 还好我当时在现场,系统突然注销了, 所以没损失.
个人觉得,改端口加打补丁, 良好的使用习惯,没那么容易中招.

作者: cerellean 时间: 2022-11-21 08:22
本帖最后由 cerellean 于 2022-11-21 08:29 编辑

官网文章：https://www.bitdefender.com/blog ... ith-law-enforcement
下载：https://download.bitdefender.com ... GogaDecryptTool.exe
使用说明：https://www.nomoreransom.org/uploads/LockerGoga-Decrypt-Doc.pdf
试试这个工具

不行就到这里看看
https://zhuanlan.zhihu.com/p/484378520

作者: 刹之那 时间: 2022-11-21 08:39

yourfei 发表于 2022-11-20 22:32
是的，你们审计厉害，所以就都不做事，少做事少犯错

审计厉不厉害不是我说了算，不过比阴阳怪气的你要厉害一些

作者: wei73 时间: 2022-11-21 08:55

zero7rainbow 发表于 2022-11-19 20:35
你可能不知道现在对国企的审计有多严格。按理说发生了这事，得先跟网警和网信办报，按商讨后的处置意见办 ...

注意管检测：听说某XXXX

作者: wun_008 时间: 2022-11-21 09:00
1改端口，
2补丁打满
3用户使用普通用户强密码，管理员密码超级复杂10位以上。
4系统要用2012以后的，除了几个下载软件什么都不装。
我虚拟机开远程桌面当下载机，除了多年前2003被改了密码再也没出过问题。

作者: 库里艾拉 时间: 2022-11-21 09:07
好多年前笔记本裸奔，中了次勒索病毒，所有的文档都被加密了，勒索3个比特币，当时好像价值8000块钱左右吧。我想了想没啥值钱的东西，全盘格式化完事儿。

作者: 炫目登场 时间: 2022-11-21 09:29
建议多备份盘。勒索病毒解密不是唯一的办法

作者: iori9051 时间: 2022-11-21 09:54

声色茶马发表于 2022-11-20 22:36
我原来觉得，要么是被暴力破了密码，要么是补丁打得不及时被偷鸡两种。

但是不久前看到本站有帖子说自己 ...

和很多因素有关吧，我有一台云服务器SSH从密钥登陆改成密码登陆第二天密码就被改了。
而我们单位服务器托管在IDC机房，开着远程桌面10年了也没出过事。
我怀疑云服务商的IP都是被黑客们重点关照的。

作者: 辉哥 时间: 2022-11-21 10:59

刹之那发表于 2022-11-19 23:16
国企你敢这样玩，早就被关进去了，我就是做审计的……

兄弟方便咨询一个事不？

作者: lovest 时间: 2022-11-21 11:12
虽然我用frp的stcp连公司，但昨天看了下-日志里还是一直被扫，现在狠下心。
再公司的nas里跑rustdesk的服务端，把所有server的外网访问权限都关了，同时关了远程桌面，局域网也不用了。
rustdesk用了一天了-也蛮好用的。

作者: yahochina 时间: 2022-11-21 11:20
什么安全防护，从来没出过问题，我太幸运了

作者: 纨绔弟子 时间: 2022-11-21 11:28
我强密码ipv6公网也中了，难道是ipv6也能扫了吗，这么大地址空间...

作者: 纨绔弟子 时间: 2022-11-21 11:29

纨绔弟子发表于 2022-11-21 11:28
我强密码ipv6公网也中了，难道是ipv6也能扫了吗，这么大地址空间...

win server2022,补丁比正常的慢了一次，因为一个多月没重启了

作者: fluttershy 时间: 2022-11-21 11:56
这玩意只能防除非有备份还原中了就GG

作者: fluttershy 时间: 2022-11-21 11:58

hsy-x 发表于 2022-11-20 23:55
卡饭上测试未打系统补丁未更新病毒库的情况下好像是只有卡巴和BD 防住了勒索。。。。 ...

主要国产很多都依赖联网断网很多主防就GG

作者: fluttershy 时间: 2022-11-21 12:00

iori9051 发表于 2022-11-21 09:54
和很多因素有关吧，我有一台云服务器SSH从密钥登陆改成密码登陆第二天密码就被改了。
而我们单位服务器托 ...

这帮玩意都扫漏洞当初医院都中过招特别是内网以前买的垃圾防软内部还很少更新
后来换了国产没事扫硬盘机械硬盘的都卡死

作者: yourfei 时间: 2022-11-21 16:12

刹之那发表于 2022-11-21 08:39
审计厉不厉害不是我说了算，不过比阴阳怪气的你要厉害一些

这还是阴阳怪气？我的想法是挽救损失，而不是不敢做事。

作者: 希望家园 时间: 2022-11-21 20:35
那有啥办法用远程桌面呢？vps也是远程桌面登录进去，为何没事？

作者: tbto008chh 时间: 2022-11-21 22:43
不想花钱的话，可以先试试用360的解密功能，360有个专门的QQ群。

作者: tozofly 时间: 2022-11-21 22:57

su2353 发表于 2022-11-19 17:12
那病毒作者要多少钱呢?

9700

作者: Endymions 时间: 2022-11-22 00:22

hsy-x 发表于 2022-11-20 23:55
卡饭上测试未打系统补丁未更新病毒库的情况下好像是只有卡巴和BD 防住了勒索。。。。 ...

bitdefender 确实稳

作者: wangmice 时间: 2022-11-24 07:55

tozofly 发表于 2022-11-21 22:57
9700

那买还是便宜的

作者: 重大事件 时间: 2022-11-24 09:10
外网IP是动态IP还是固定IP？

作者: wkb123000 时间: 2022-11-24 10:03

wangmice 发表于 2022-11-19 15:59
有恢复数据的能恢复，我发了个小文件给他，好像成功了，但是报价98000

勒索病毒就是为了求财，数据恢复的报价是不是比勒索人还高？

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)