Chiphell - 分享与交流用户体验

标题: 中招了，勒索病毒 [打印本页]

作者: fatppmm 时间: 2023-12-21 00:46
标题: 中招了，勒索病毒
(, 下载次数: 42)

问下，这种文件没有及时删除，会传染到其他文件吗？

现在只能用黑群的版本控制恢复了。

作者: 伦风凝星 时间: 2023-12-21 01:28
看着像OneDrive？

作者: NetCobra 时间: 2023-12-21 02:52
这种文件不会传染给其他文件，但是要找到勒索病毒入侵的途径，确定不会再继续感染。
我之前碰到的是把Gen8的iLO端口暴露到Internet上导致的。

作者: hzsohu 时间: 2023-12-21 03:35
怎么中的，说下环境呢

作者: YsHaNg 时间: 2023-12-21 05:00
找个编辑器打开你看是不是python脚本

作者: fatppmm 时间: 2023-12-21 06:45
3389暴露了，以为改为了63389，还是中招了

作者: hzsohu 时间: 2023-12-21 06:58

fatppmm 发表于 2023-12-21 06:45
3389暴露了，以为改为了63389，还是中招了

太可怕了，弱密码？搞勒索的杂不死哦，远程桌面杂才安全呢

作者: BetaHT 时间: 2023-12-21 07:52
建议删除，或者移动到其他地方

作者: buxiang110 时间: 2023-12-21 08:19

fatppmm 发表于 2023-12-21 06:45
3389暴露了，以为改为了63389，还是中招了

有人会扫端口。改了只是慢了一点。有漏洞依然会中招。

作者: wowking 时间: 2023-12-21 08:34
密码太弱了吧？禁用TLS1.0/1.1，只允许TLS1.2/1.3

作者: phliar 时间: 2023-12-21 08:38

hzsohu 发表于 2023-12-21 06:58
太可怕了，弱密码？搞勒索的杂不死哦，远程桌面杂才安全呢

梯子加Teamviewer

作者: lmno387 时间: 2023-12-21 09:05

hzsohu 发表于 2023-12-21 06:58
太可怕了，弱密码？搞勒索的杂不死哦，远程桌面杂才安全呢

自建v pn啊多方便，就跟局域网一样用。

作者: farwish 时间: 2023-12-21 09:06
好怕呀，怎么中的，，开Windows Defender的情况下中的吗？我公司只有Defender

作者: farwish 时间: 2023-12-21 09:11

fatppmm 发表于 2023-12-21 06:45
3389暴露了，以为改为了63389，还是中招了

确定是3389的问题？我公司十几台机器3389暴露，弱口令也是，你不如搞个Open**远程局域网3389吧

作者: 煎饼果子chh 时间: 2023-12-21 09:15
和3389无关，关键是弱密码带公网IP吧

作者: nn1122 时间: 2023-12-21 09:16
公网端口只留威皮恩，其他千万不要开放

作者: fatppmm 时间: 2023-12-21 09:23
还好群晖有版本控制，还有3天内的备份

作者: kkfnaidon 时间: 2023-12-21 09:29
瑟瑟发抖，我开了微皮恩，webdav的两个端口

作者: fatppmm 时间: 2023-12-21 09:34
还有不能全部都用drive 或者drive shareSync，md，我有异地3台黑群备份，全中招了

还有一份硬盘备份，还有一份hyper backup，否则死翘翘

看来以后还是要定期外置硬盘备份

作者: wish 时间: 2023-12-21 09:35
用了3389十多年了。。一直保持winsever系统更新，不用admin用户

作者: AlexBango 时间: 2023-12-21 09:37

fatppmm 发表于 2023-12-21 09:34
还有不能全部都用drive 或者drive shareSync，md，我有异地3台黑群备份，全中招了

还有一份硬盘备份，还有 ...

是pc中招后，感染本地nas？

异地的黑群中招是因为本地这台nas中毒了，备份文件传染过去的么？

作者: AlexBango 时间: 2023-12-21 09:39

煎饼果子chh 发表于 2023-12-21 09:15
和3389无关，关键是弱密码带公网IP吧

我有一台pc，路由器设置他的3389在公网，方便在外面的时候远程桌面回去。密码有大小写和数字，这样安全么

作者: fatppmm 时间: 2023-12-21 09:40

AlexBango 发表于 2023-12-21 09:37
是pc中招后，感染本地nas？

异地的黑群中招是因为本地这台nas中毒了，备份文件传染过去的么？

对，就是通过3389中招后，同步到黑群的，根源还是3389

作者: fatppmm 时间: 2023-12-21 09:41

AlexBango 发表于 2023-12-21 09:39
我有一台pc，路由器设置他的3389在公网，方便在外面的时候远程桌面回去。密码有大小写和数字，这样安全么 ...

不安全，我也是大小写+数字的

作者: 煎饼果子chh 时间: 2023-12-21 09:43

AlexBango 发表于 2023-12-21 09:39
我有一台pc，路由器设置他的3389在公网，方便在外面的时候远程桌面回去。密码有大小写和数字，这样安全么 ...

我这一堆服务器，NAT内网3389，密码12位大小写数字符号混合，几年了屁事没有。在windows系统安全日志里，1分钟能看到10个左右的失败登录。人家就是盲扫的，只要你端口开，从1扫到65536。

作者: AlexBango 时间: 2023-12-21 09:52

fatppmm 发表于 2023-12-21 09:41
不安全，我也是大小写+数字的

我这几天也遇到火绒频繁报警说有外网ip在暴力攻击。。。正愁怎么处理，就看到你这中毒的。。。

作者: BH1PXK 时间: 2023-12-21 10:21
瑟瑟发抖，关掉一台备份的nas做冷存储。

作者: AlexBango 时间: 2023-12-21 10:27

煎饼果子chh 发表于 2023-12-21 09:15
和3389无关，关键是弱密码带公网IP吧

nas里面pt下载的端口也是暴露在公网的，不知道有没有问题

作者: ghwwx 时间: 2023-12-21 11:00
中了这个病毒基本无解，直接格了重装吧。以前图方便直接吧3389做了端口映射到NAS。后来就通过v-p-n访问家里的网络，这种事情就再也没有了。

我现在个人电脑就只装windows的defence，其他的杀毒软件都不装的。几年了也没有中毒。

作者: summerq 时间: 2023-12-21 11:05
nas做好保护很重要。千万不能在公网上开端口。如果需要远程访问，可以vxn

作者: CRazy-牛牛 时间: 2023-12-21 11:09
别开远程端口，我现在的服务器都不开。

作者: 煎饼果子chh 时间: 2023-12-21 11:13

AlexBango 发表于 2023-12-21 10:27
nas里面pt下载的端口也是暴露在公网的，不知道有没有问题

NAT是有方向的，是NAT出还是NAT入，3389是NAT入，外网随便改个比如12345，内网3389我没改它。另外还开了443和80两个端口到web服务器，其它服务器都只开了3389，前提是有防火墙。
只要暴露在公网的端口都是有风险的，如果没有防火墙带防病毒各种库，最好不要完全暴露。
家庭环境，我这里是移动大内网+动态IP+NAT3，根本开不了任何端口，只要没有主动下载带病毒软件，病毒入侵可以忽略不计。
防勒索病毒就是一招，321备份策略，esxi主机虚拟了一个黑群abb每周备份，版本控制，重要资料cloud sync加密上传到百度云，搞备份不需要性能，所以黑群硬盘都是vmfs。

作者: fatppmm 时间: 2023-12-21 11:39

煎饼果子chh 发表于 2023-12-21 11:13
NAT是有方向的，是NAT出还是NAT入，3389是NAT入，外网随便改个比如12345，内网3389我没改它。另外还开了4 ...

实时或者定时备份也会中招，全部感染了后，备份也感染了

有版本控制，可以解决问题，但费时费力，4个黑群都要处理下

还是要冷备份，md，太重要了

作者: 煎饼果子chh 时间: 2023-12-21 11:53
本帖最后由煎饼果子chh 于 2023-12-21 11:55 编辑

fatppmm 发表于 2023-12-21 11:39
实时或者定时备份也会中招，全部感染了后，备份也感染了

有版本控制，可以解决问题，但费时费力，4个黑 ...

大量数据肯定需要冷备，不过缺乏及时性

SMB NFS共享这种文件级备份只能应付副本的备份，勒索病毒这种只能用非感染性文件进行版本控制，当然更复杂的块级的快照也可以做到，比如全部虚拟化做快照。

作者: hzsohu 时间: 2023-12-21 12:28

lmno387 发表于 2023-12-21 09:05
自建v pn啊多方便，就跟局域网一样用。

v pn有几种，哪种安全点？

作者: pp0pp 时间: 2023-12-21 13:17

wish 发表于 2023-12-21 09:35
用了3389十多年了。。一直保持winsever系统更新，不用admin用户

admin如果使用中文名字，会不会好一些呢？

我的admin账号都是中文名字。

作者: zfsquare 时间: 2023-12-21 13:26
我也中过唯独数据库没同步，花了300元找淘宝恢复的，当教学费

后面我关了远程连接，把DMZ也关了

作者: farwish 时间: 2023-12-21 13:36

hzsohu 发表于 2023-12-21 12:28
v pn有几种，哪种安全点？

我再用open v pn，证书验证，打开后远程访问就跟内网一样方便且安全

作者: 秋尘 时间: 2023-12-21 13:50
具体是怎么被入侵的，是IPv4直接暴露了3389/开了IPv4 DMZ，还是IPv6被扫到的？是电脑被入侵然后通过SMB入侵群晖的吗？密码是几位大小写和数字啊？

作者: presolo 时间: 2023-12-21 13:57
3台机器常年开3389 端口为什么一点事情没有？路由器也是一只开着公网web访问。

作者: nsc117 时间: 2023-12-21 14:45
有了ipv6如果不额外配置防火墙的话就相当于在互联网上裸奔了，但目前设置了N台设备的ipv6，还没碰到被扫的，倒是IPV4的每秒几十个尝试登录。
可能是ipv6地址太多了没法扫？

作者: jk2336968 时间: 2023-12-21 15:20

煎饼果子chh 发表于 2023-12-21 11:13
NAT是有方向的，是NAT出还是NAT入，3389是NAT入，外网随便改个比如12345，内网3389我没改它。另外还开了4 ...

移动可以用ipv6直连，不过要关闭防火墙。但ipv6地址变化间隔短，不清楚能不能扫。每次要连才在路由关防火墙。

作者: 寂寞的自由 时间: 2023-12-21 15:51
系统密码设置输错5次锁30分钟，可以挡一部分

作者: 煎饼果子chh 时间: 2023-12-21 17:11

jk2336968 发表于 2023-12-21 15:20
移动可以用ipv6直连，不过要关闭防火墙。但ipv6地址变化间隔短，不清楚能不能扫。每次要连才在路由关防火 ...

IPV6应该没多少扫的，地址范围太大了，可以看看系统日志

作者: c658544 时间: 2023-12-21 17:35
本帖最后由 c658544 于 2023-12-21 17:37 编辑

我们公司网络Ip是固定的，所以在家里路由器NAT做了限定，指定源地址才能连回虚拟桌面的3389。
这样应该还安全吧？

作者: zhjook 时间: 2023-12-21 17:55
这几天我邮箱也被黑了，勒索比特 B ，

作者: xiao911 时间: 2023-12-21 19:54
https://www.nomoreransom.org/zh/index.html

试试这个网站，能不能找到解密软件....

作者: lovest 时间: 2023-12-21 21:50
前些年中过一次，之前也一直用mstc，即使改端口强口令，天天被人扫也烦。
搞到后面-我把几台服务器的外网连接全部停了，局域网内跑个frpc，
同时自建rustdesk，这样在外面也能用rustdesk连这些公司内部外网不能自连的服务器。
备份也开着一台群晖做了abb。这样应该安全一些了。

作者: ExFan 时间: 2023-12-21 21:56
有工具专扫3389的Administrator，改端口改用户都可以避免

作者: ntuchenxy 时间: 2023-12-21 22:22
改个不常见的用户名同时禁用admin就行了，攻击只会用admin，谁能猜到你的用户名是啥，改端口是没用的，一扫就暴露了。我自己就中招过，就是默认administrator用户，密码虽然长但查了下发现是个常用字典里有的，改了这么点再也没被入侵过，虽然日志里警告不断。

作者: tedaz 时间: 2023-12-22 09:27
十几年了，ddns+修改了公网端口号的RDP，密码是一般的英文小写字母。非常安全。

但是注意，这台RDP不能直接写入内网信息。

然后就是内网的两台迷你服务器是通过robocopy手动备份而非自动备份，以防止备份也被错误的数据污染。

作者: presolo 时间: 2023-12-22 09:34

ntuchenxy 发表于 2023-12-21 22:22
改个不常见的用户名同时禁用admin就行了，攻击只会用admin，谁能猜到你的用户名是啥，改端口是没用的，一扫 ...

我一直用的微软在线账户远程登录，看来没被搞是这个原因。

作者: ntuchenxy 时间: 2023-12-22 11:10

presolo 发表于 2023-12-22 09:34
我一直用的微软在线账户远程登录，看来没被搞是这个原因。

对的，又不是专业的人在亲自攻击，就是个工具，扫到了开放的端口，就用固定administrator账号，密码从字典里穷举，看日志就知道了。对了，上次中招还有个疏忽，病毒做了个防病毒的界面，告诉我有病毒问要不要杀毒，其实那个界面做的很粗糙一看就不像真的，但是没在意就点了下，然后好像还确认了下权限什么的，现在想想真是手贱了。

作者: forestcrystal 时间: 2024-1-1 16:46
提示: 作者被禁止或删除内容自动屏蔽

作者: cookcrow 时间: 2024-1-1 17:42
我不用公网应该没事吧

作者: 红叶乱秋山 时间: 2024-1-1 17:44
我是自己写个端口映射软件，对3389做了个自定义的加密映射，这样估计没有黑客有空来破解了吧

作者: fyc858 时间: 2024-1-1 20:31
账户不要用admin，密码其实无所谓，随便设置，暴力破解专门找纯数字+admin

作者: ImRuYi 时间: 2024-1-2 12:21
nas上还是启用快照功能，一旦中了勒索病毒，还可以断网后从快照恢复

作者: endlessbest 时间: 2024-1-2 14:31
看了一下win日志，好多登录审核失败日志，吓得赶紧把端口关了

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)