V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xifangczy
V2EX  ›  信息安全

勒索病毒...中招了啊

  •  
  •   xifangczy · 2017-04-06 00:55:25 +08:00 · 5685 次点击
    这是一个创建于 2817 天前的主题,其中的信息可能已经有所发展或是发生改变。

    好气啊

    还是文员那台电脑,所有重要资料都在里面,不过好像只有桌面和我的文档内文件被加密了其他盘里的文件都正常。

    引以为戒啊,一定一定要有备份!!!

    27 条回复    2017-04-07 14:22:30 +08:00
    Luckyray
        1
    Luckyray  
       2017-04-06 00:56:25 +08:00 via iPhone
    有趣……没任何办法解开?
    xifangczy
        2
    xifangczy  
    OP
       2017-04-06 04:29:59 +08:00
    @Luckyray 有..给钱..
    ixinshang
        3
    ixinshang  
       2017-04-06 07:56:29 +08:00 via Android
    前几天在一个群里 也看到了
    mokeyjay
        4
    mokeyjay  
       2017-04-06 08:31:58 +08:00 via Android
    不如说说是怎么中的?
    fyyz
        5
    fyyz  
       2017-04-06 08:34:38 +08:00 via Android   ❤️ 1
    勒索病毒千万不要付赎金!因为现在勒索病毒不一定会像早期的那些会老老实实给你个 key 了,而且你付钱本身也是滋长这种行为。以后最好安全防范,重要数据定期异地备份才是王道。
    xvx
        6
    xvx  
       2017-04-06 08:37:00 +08:00 via iPhone
    安全+备份,都要。
    IJustmaogepao
        7
    IJustmaogepao  
       2017-04-06 08:37:16 +08:00
    都有联系电话了。。直接报警啊。。
    imlonghao673
        8
    imlonghao673  
       2017-04-06 08:54:51 +08:00 via Android
    @IJustmaogepao 额,是这个文件名本身的名字
    xycool
        9
    xycool  
       2017-04-06 08:59:59 +08:00
    前几天我服务器也是这样,也被勒索了。不过我选择了全盘格式化重装系统,然后报警。
    shakoon
        10
    shakoon  
       2017-04-06 09:04:38 +08:00
    foxmail 邮箱是企鹅家的,报警应该能跟踪到使用者
    liuyi_beta
        11
    liuyi_beta  
       2017-04-06 09:43:36 +08:00   ❤️ 1
    ch4in
        12
    ch4in  
       2017-04-06 09:45:53 +08:00
    有试过 www.nomoreransom.org 吗?
    bk201
        13
    bk201  
       2017-04-06 09:52:23 +08:00 via iPhone
    全部重要文件 git 处理
    ryd994
        14
    ryd994  
       2017-04-06 10:22:40 +08:00 via Android
    @bk201 然后病毒学会 git push -f 了(逃
    NicholasDumpling
        15
    NicholasDumpling  
       2017-04-06 10:33:33 +08:00 via Android
    xifangczy
        16
    xifangczy  
    OP
       2017-04-06 11:02:48 +08:00
    @liuyi_beta
    @ch4in
    @NicholasDumpling

    无法解密 BAD NEWS
    xifangczy
        17
    xifangczy  
    OP
       2017-04-06 11:05:44 +08:00
    @mokeyjay
    找到原因了 很愚蠢,有人想在家办公开启 3389 放在外网,账户密码超简单,根据文件修改时间上看就是这台最开始,之后跟着把所有共享文件都被加密上了。
    QAPTEAWH
        18
    QAPTEAWH  
       2017-04-06 11:32:07 +08:00
    @xifangczy 论 VPN 的重要性..
    ipconfiger
        19
    ipconfiger  
       2017-04-06 11:38:01 +08:00
    喜闻乐见
    Smirn0ff
        20
    Smirn0ff  
       2017-04-06 11:57:59 +08:00
    样本发 52pojie 有人应该能解!
    Smirn0ff
        21
    Smirn0ff  
       2017-04-06 11:58:31 +08:00
    不行数据恢复!
    xifangczy
        22
    xifangczy  
    OP
       2017-04-06 12:54:26 +08:00
    用删除恢复的软件能恢复一点点...猜测加密过程不是直接修改文件,生成加密后文件删掉源文件这样的过程... 由于加密操作太多 覆盖了很多恢复不了。
    加密过程中找到病毒进程 dump 内存镜像,在 dump 文件里找说不定能找到私钥...已经结束完成清空了内存...真想不到什么太好的办法。
    Autonomous
        23
    Autonomous  
       2017-04-06 13:47:42 +08:00 via iPhone
    @xifangczy dump 里面应该找不到私玥的吧,加密一般用公钥就行了
    liuyi_beta
        24
    liuyi_beta  
       2017-04-06 15:41:13 +08:00
    @xifangczy 那就基本无解了,付款或者直接放弃。
    vcfghtyjc
        25
    vcfghtyjc  
       2017-04-07 04:57:50 +08:00
    @xifangczy 萌新问一下什么是 3389 ?另外,公司最后怎么处理责任人的?
    cnkuner
        26
    cnkuner  
       2017-04-07 09:13:02 +08:00 via Android
    果然安全最薄弱的环节是人
    xifangczy
        27
    xifangczy  
    OP
       2017-04-07 14:22:30 +08:00
    @vcfghtyjc 3389 是 Windows 远程桌面连接.
    好在还有各位笔记本内还有一些旧文件,也不是不可修复,就让他自己加班处理吧。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2549 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 10:18 · PVG 18:18 · LAX 02:18 · JFK 05:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.