【小5聊】记录一次Win7系统开启3389外网的情况下,被勒索病毒加密所有文件

其他 2021-12-15 07:07:54 阅读次数: 0

使用了网上下载的内网映射以及3389端口映射,由于防范意识不高,以及远程账号密码设置太简单和对3389端口映射到外网的高漏洞了解不深,导致勒索病毒有机可趁

由于主服务器加了多重防范,禁止3389远程以及复杂的主账号密码,仅仅只加密了三个文件,这个没找到为什么,有可能是没来得及加密,就断开了网络!有知道原因的小伙伴可聊下

1、所有网络出现异常

1)早上11点多,整个网络开始出现异常,上网缓慢,甚至直接上不了,部分电脑微信可以接收到信息,也是很慢

2)刚开始排查以为是电信宽带问题,找了电信维修师傅过来排查,检查光猫没问题

3)然后,检查主交换机就出现无法上网了,维修师傅判定可能是交换机出现了问题

4)接着,维修师傅用一个100兆的交换机作为主交换机,重置设置后,发现网络恢复了

5)用不到10分钟,网络又开始大面积出现异常,上不了网

6)接着和同事分析,应该不是交换机的问题,登录TP-LINK后台查看,只有几个客户端列表获取到IP,一看就不对,可能是内网固定IP问题,然后把所有本机固定IP都改为自动

7)同时把公共远程电脑也关了

8)网络逐渐恢复

2、 查看公共远程电脑

1)登录电脑,本来想着开启远程软件,结果发现都无法打开,桌面多了很多文件,打开个别软件安装目录,发现都被加了后缀,改回后缀也无法打开

2)网上查看信息了解

勒索病毒,不及时进行隔离,可能会导致整个局域网主机的瘫痪
有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏

3、勒索病毒留下的txt文本文档内容

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: [email protected] and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: [email protected]
Reserved email: [email protected]

Your personal ID: 

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


!!! 你所有的文件都加密了!!!

您的所有文件、文档、照片、数据库和其他重要文件都已加密。

你不能自己解密它!恢复文件的唯一方法是购买唯一的私钥。

只有我们才能给你这把钥匙,只有我们才能恢复你的文件。

为了确保我们有解密器并且它可以工作,您可以发送电子邮件:[email protected]免费解密一个文件。

但是这个文件应该没有价值!

是否确实要还原文件?

写信至电子邮件:[email protected]

保留电子邮件:[email protected]

您的个人ID:

注意

*不要重命名加密文件。

*不要试图用第三方软件解密数据,这可能会造成永久性数据丢失。

*在第三方的帮助下解密您的文件可能会导致价格上涨(他们将他们的费用加到我们的费用中),或者您可能成为诈骗的受害者。

4、开机提示如下

5、暂时处理方式

1)断开网络,关掉开启3389的软件(此时也无法开启,因为被破坏了)

2)不要轻易插入U盘和移动硬盘,防止二次感染移动设备

3)重启,进PE系统, 格式化所有磁盘,再重新分区,再重新安装系统

4)完成系统重装后,下载杀毒软件再全盘扫描下

5)如果实在是要开启3389,那么要把远程密码设置复杂点以及开启防护软件

猜你喜欢

转载自blog.csdn.net/lmy_520/article/details/121280986
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
《2024 年一季度互联网投融资运行情况》研究报告
报告:Django 仍然是 74% 开发者的首选
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
记一下去大梅沙的准备(2018-05-26)
Spring 注解 事务
基于HTTP协议的客户端缓存
阿里云rds 备份和还原
[PHP] 几个拖慢 PHP 程序/API 运行速度的点
python 代码风格------------PEP8规则
js控制json生成菜单——自制菜单(一)
将字符串: 'k:1|k1:2|k2:3|k3:4 ' ,处理成 python 字典: {'k':1, 'k1':2, ...}
微信小程序转支付宝小程序
Qt551.窗口滚动条
每日归档
更多
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022