快乐周一,今天大早上好不容易没迟到来公司,同事说系统进不去了,以为是电脑问题,结果发现自己也上不去了,远程进远程机发现也进不去·····,跑到机房发现死机了,重启之后发现文件结尾都是 连六六的火绒都 GG 了··············· 不信邪又重启了一遍,结果还是吊样子,百度之后发现是勒索病毒······, 重新装火绒提示不让写入,后来装了个腾讯管家但是没得吊用,杀毒只是删了那些快捷方式。
后来好不容易找到虚拟机的文件,发现还能用偷偷乐了一下,结果启动之后,我******··········
不过还好上任运维人好,给我留了几个备份节点····,然后通过节点恢复回来了~
之前在站里看别人热闹···今天终于轮到自己了···要被吓死了,还好不是服务器····只是远程机·····没啥重要数据······希望人没事····· ̄へ ̄
顺便请教了下系统那边的售后,他说最近刚给客户恢复过数据,最近有很多 M 和 G 结尾的病毒,售后跟我说,装了火绒最好不要开启远程协助了,因为会扫描 ip 和端口,容易出问题,是这样吗?
1
PcxQkx OP 本以为装了火绒就放心了····没想到啊··万万没想到···(;へ:)
|
2
murmur 2020-10-19 10:37:15 +08:00
这勒索病毒是怎么进来的,是漏洞还是弱密码呗破解了
|
3
paradoxs 2020-10-19 10:38:24 +08:00
公司内鬼,关掉火绒再开勒索病毒,钱反正是到比特币账户,查不到。
|
4
PcxQkx OP @murmur 我之前想给远程机做个远程 开了一个端口,然后远程也是打开的,但是后来连不上,·····不过密码确实简单·····123321············我忽然觉得有些问题了
|
7
exploretheworld 2020-10-19 10:53:40 +08:00 via Android
ms17-010 的补丁打了吗?
|
8
PcxQkx OP @exploretheworld 那个是什么·····
|
9
12101111 2020-10-19 11:12:36 +08:00
这病毒还会挂载 vmdk 虚拟硬盘的吗
|
10
jasonyang9 2020-10-19 11:19:17 +08:00
从描述看是弱密码被暴力破解了,不是漏洞。如果必须暴露 RDP 到公网可以考虑 SSH 隧道跳板机。
话说 Windows 怎么才能做密钥登录?永远的痛 |
11
kokutou 2020-10-19 11:23:49 +08:00
服务器和客户机都没打补丁吧...
|
13
PcxQkx OP @jasonyang9 目前来看确实是这样的 ···汗-,-!
|
14
kokutou 2020-10-19 11:37:31 +08:00
@jasonyang9 #10
智能卡... |
15
LoveJava 2020-10-19 12:37:37 +08:00
好吓人,好在有备份
|
16
icchux 2020-10-19 14:46:40 +08:00
@jasonyang9 我们是加个短信验证码登录
|
17
deorth 2020-10-19 17:00:16 +08:00
我上周办公机中了挖矿病毒,被 IT 找了。。。要是勒索病毒我就得跑路了。。。
|
18
PcxQkx OP @icchux @jasonyang9 @exploretheworld @kokutou 大哥们,有啥好的推荐教程吗,关于排查病毒是如何进入电脑这块的知识,或者给个短链也可以····我想学习下···
|
20
HFX3389 2020-10-19 18:12:45 +08:00
@PcxQkx #18 你这个就是弱密码外加没打补丁,7 楼说的 MS17-010 是之前永恒之蓝利用的漏洞的修补程序,打好补丁加强密码,如果还能限制指定 IP 连入一般不会出问题
|
21
nicevar 2020-10-19 18:12:57 +08:00
火绒只是个轻量级的防病毒软件,不要太迷信了,不管怎样备份才是王道
|
22
kuro1 2020-10-19 18:13:47 +08:00
你这弱密码和裸奔差的不大。。
|
23
d0wnl0ad 2020-10-19 22:45:19 +08:00 via Android
@jasonyang9 还有 RSA 或者 M365 的 MFA 都可以,前提是有钱😂
|
24
PcxQkx OP 好的··谢谢各位
|