中招了，勒索病毒

fatppmm · 发表于 2023-12-21 00:46

问下，这种文件没有及时删除，会传染到其他文件吗？

现在只能用黑群的版本控制恢复了。

伦风凝星 · 发表于 2023-12-21 01:28

看着像OneDrive？

NetCobra · 发表于 2023-12-21 02:52

这种文件不会传染给其他文件，但是要找到勒索病毒入侵的途径，确定不会再继续感染。
我之前碰到的是把Gen8的iLO端口暴露到Internet上导致的。

hzsohu · 发表于 2023-12-21 03:35

怎么中的，说下环境呢

YsHaNg · 发表于 2023-12-21 05:00

找个编辑器打开你看是不是python脚本

fatppmm · 发表于 2023-12-21 06:45

3389暴露了，以为改为了63389，还是中招了

hzsohu · 发表于 2023-12-21 06:58

fatppmm 发表于 2023-12-21 06:45
3389暴露了，以为改为了63389，还是中招了

太可怕了，弱密码？搞勒索的杂不死哦，远程桌面杂才安全呢

BetaHT · 发表于 2023-12-21 07:52

建议删除，或者移动到其他地方

buxiang110 · 发表于 2023-12-21 08:19

fatppmm 发表于 2023-12-21 06:45
3389暴露了，以为改为了63389，还是中招了

有人会扫端口。改了只是慢了一点。有漏洞依然会中招。

wowking · 发表于 2023-12-21 08:34

密码太弱了吧？禁用TLS1.0/1.1，只允许TLS1.2/1.3

phliar · 发表于 2023-12-21 08:38

hzsohu 发表于 2023-12-21 06:58
太可怕了，弱密码？搞勒索的杂不死哦，远程桌面杂才安全呢

梯子加Teamviewer

lmno387 · 发表于 2023-12-21 09:05

hzsohu 发表于 2023-12-21 06:58
太可怕了，弱密码？搞勒索的杂不死哦，远程桌面杂才安全呢

自建v pn啊多方便，就跟局域网一样用。

farwish · 发表于 2023-12-21 09:06

好怕呀，怎么中的，，开Windows Defender的情况下中的吗？我公司只有Defender

farwish · 发表于 2023-12-21 09:11

fatppmm 发表于 2023-12-21 06:45
3389暴露了，以为改为了63389，还是中招了

确定是3389的问题？我公司十几台机器3389暴露，弱口令也是，你不如搞个Open**远程局域网3389吧

煎饼果子chh · 发表于 2023-12-21 09:15

和3389无关，关键是弱密码带公网IP吧

nn1122 · 发表于 2023-12-21 09:16

公网端口只留威皮恩，其他千万不要开放

fatppmm · 发表于 2023-12-21 09:23

还好群晖有版本控制，还有3天内的备份

kkfnaidon · 发表于 2023-12-21 09:29

瑟瑟发抖，我开了微皮恩，webdav的两个端口

fatppmm · 发表于 2023-12-21 09:34

还有不能全部都用drive 或者drive shareSync，md，我有异地3台黑群备份，全中招了

还有一份硬盘备份，还有一份hyper backup，否则死翘翘

看来以后还是要定期外置硬盘备份

wish · 发表于 2023-12-21 09:35

用了3389十多年了。。一直保持winsever系统更新，不用admin用户

AlexBango · 发表于 2023-12-21 09:37

fatppmm 发表于 2023-12-21 09:34
还有不能全部都用drive 或者drive shareSync，md，我有异地3台黑群备份，全中招了

还有一份硬盘备份，还有 ...

是pc中招后，感染本地nas？

异地的黑群中招是因为本地这台nas中毒了，备份文件传染过去的么？

AlexBango · 发表于 2023-12-21 09:39

煎饼果子chh 发表于 2023-12-21 09:15
和3389无关，关键是弱密码带公网IP吧

我有一台pc，路由器设置他的3389在公网，方便在外面的时候远程桌面回去。密码有大小写和数字，这样安全么

fatppmm · 发表于 2023-12-21 09:40

AlexBango 发表于 2023-12-21 09:37
是pc中招后，感染本地nas？

异地的黑群中招是因为本地这台nas中毒了，备份文件传染过去的么？

对，就是通过3389中招后，同步到黑群的，根源还是3389

fatppmm · 发表于 2023-12-21 09:41

AlexBango 发表于 2023-12-21 09:39
我有一台pc，路由器设置他的3389在公网，方便在外面的时候远程桌面回去。密码有大小写和数字，这样安全么 ...

不安全，我也是大小写+数字的

煎饼果子chh · 发表于 2023-12-21 09:43

AlexBango 发表于 2023-12-21 09:39
我有一台pc，路由器设置他的3389在公网，方便在外面的时候远程桌面回去。密码有大小写和数字，这样安全么 ...

我这一堆服务器，NAT内网3389，密码12位大小写数字符号混合，几年了屁事没有。在windows系统安全日志里，1分钟能看到10个左右的失败登录。人家就是盲扫的，只要你端口开，从1扫到65536。

AlexBango · 发表于 2023-12-21 09:52

fatppmm 发表于 2023-12-21 09:41
不安全，我也是大小写+数字的

我这几天也遇到火绒频繁报警说有外网ip在暴力攻击。。。正愁怎么处理，就看到你这中毒的。。。

BH1PXK · 发表于 2023-12-21 10:21

瑟瑟发抖，关掉一台备份的nas做冷存储。

AlexBango · 发表于 2023-12-21 10:27

煎饼果子chh 发表于 2023-12-21 09:15
和3389无关，关键是弱密码带公网IP吧

nas里面pt下载的端口也是暴露在公网的，不知道有没有问题

ghwwx · 发表于 2023-12-21 11:00

中了这个病毒基本无解，直接格了重装吧。以前图方便直接吧3389做了端口映射到NAS。后来就通过v-p-n访问家里的网络，这种事情就再也没有了。

我现在个人电脑就只装windows的defence，其他的杀毒软件都不装的。几年了也没有中毒。

summerq · 发表于 2023-12-21 11:05

nas做好保护很重要。千万不能在公网上开端口。如果需要远程访问，可以vxn

账号		自动登录	找回密码
密码			加入我们

[NAS] 中招了，勒索病毒