记一次勒索病毒的遭遇
快放假了,为了方便用手机远程电脑抢火车票,就在电脑上开启了远程桌面连接,并且做了内网端口映射。
但是抢完票又是周末,忘记关机,周一大早发现电脑登陆不进去了,而且屏幕显示用户已远程登陆...(心中感觉不妙)
邓上重启电脑,发现BOOTMGR is missing...
马上U盘启动,进入WinPE一看,啊,完蛋了!
本地硬盘上的所有文件全部被加密了!
文件后缀全部变为了id[828CB570-2700].[helpbackup@email.tg].Devos
这太TM过分了啊!
我的资料和代码全没了啊!
去年的wannacry勒索病毒的新闻还历历在目,没想到这就让我遇上了,哎!!!
因为电脑屏幕是锁屏状态,我无法登陆,所以我连勒索我的那个弹窗都没看到,不知道他到底要多少比特币......
不过所幸的是一些重要的文件我已经备份到网盘里了,但是还有很多没有备份的文件丢失了,只能慢慢重头再来了。
花了一整天时间,重做系统,格式化硬盘,找回那些已备份的文件......
事后反思:
我的系统虽然是win7,但已经打了永恒之蓝和RDP漏洞补丁。
所以这病毒大概率是利用RDP远程扫描工具,找到了我的端口,并且使用密码字典进行爆破,拿到了登陆账号和密码,然后手动投毒。
因为我的登陆密码真是太弱了!
本来就是打算临时用一下,用完就关闭,结果却发生了最坏的情况。
暴露在公网的资源,真的是大意不得,稍有不慎,便会带来严重的损失!!!
1.无论如何不要使用弱密码;
2.尽可能开启IP访问白名单,特别是要拉黑国外的IP地址;
3.不使用的时候,尽量关机;
4.要提高文件备份的频率和覆盖面;
事已至此,虽然这种文件暂时还没有解密的办法,但我还是要稍微对它了解一下.
从文件的修改时间来看,加密过程是从凌晨3点到4点,整个过程只花了1个小时!
这加密速度也太快了吧,电脑硬盘文件估计有几百个GB,全部加密只花了1个小时?
所有文件都在原始文件名末尾添加了一串用于解密的信息:id[828CB570-2700].[helpbackup@email.tg].Devos
828CB570-2700应该是机器码一类的
helpbackup@email.tg应该是黑客的邮箱
devos应该是特征后缀名
通过奇安信的在线查询网页,显示此勒索病毒是phobos,暂时无法解密!
再看看文件内容,找一个已知内容的文件进行对比,发现文件内容变成面貌全非,并且文件长度也发生了变化。
文件长度增加了258字节,应该是添加了一串解密的信息在里面。
再找一个比较大一点的文件 ,这个文件有20MB。
发现文件前面256KB的内容全变为了00,中间也有一段变为了00,末尾又有一段全为00的数据,
而其余部分的内容并没有改变?嘻嘻,这样的话似乎还能还原一小部分文件内容?
在末尾又新增加了一段数据,猜测是变为了00的这三段数据加密后的内容。
通过多次测试,发现文件大于2MB的,全部采用部分加密的算法,而小于2MB的文件 ,则采取整体加密的算法,
所以这就是实现快速全盘加密的方案?不然有一些1GB以上的超大文件,加密肯定会很耗时。
完。
补充:
后来在整理被加密的文件时,发一个隐藏目录下发现了2个高度可疑的未加密EXE文件,极有可能就是phobos病毒文件。
有兴趣的可以下载下来看看是不是:
链接: https://pan.baidu.com/s/1eA6Y6lJzVCJ_VJfnm3fzTg 提取码: tqpv
里面包fast.exe和ns.exe两个文件,fast.exe应该就是病毒本身,而ns.exe应该是用于搜索和挂载局域网内的SMB共享文件夹的小工具。
记一次勒索病毒的遭遇相关推荐
- 勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例
勒索病毒怎么破 记录两次客户中勒索病毒恢复的情况. 2020年5月在公众号'成文数科'写的文章,现在安全事故愈发频繁.故重新贴到CSDN来 勒索病毒的前世今生 2017年4月14日晚,黑客团体Shad ...
- 记一次勒索病毒中招 (赎金已交)
从没想过自己会中勒索病毒 因为用电脑几十年, 自己也算比较懂电脑的, 使用习惯一直都很好 某天起床, 打开E盘, 一眼就发现自己中了勒索病毒 随即马上开始根据扩展名进行research, 看看有没有救 ...
- 遭遇勒索病毒数据库被删除之后
昨天发现网站不能访问,以为只是简单的报错,看看日志,解决一下就行了.就没当回事的打开日志,开始查看,看了一眼突然懵了,怎么回事,原本运行的好好的数据库找不到了,我半信半疑的想着我插入数据失败不至于把数 ...
- 记一次Windows勒索病毒应急响应实战
查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:\Users\gy\AppData\Roaming\Microsoft ...
- 宏碁再次遭遇勒索病毒攻击、谷歌分析8000万个勒索软件样本|10月15日全球网络安全热点
安全资讯报告 MyKings僵尸网络仍然活跃并赚取大量资金 MyKings僵尸网络(又名Smominru或DarkCloud)仍在积极传播,在它首次出现在野外五年后,通过加密货币赚取了大量资金. 作为 ...
- 金蝶软件遭遇.locked勒索病毒攻击:如何保护与解救您的数据?
引言: 近期,部分运行金蝶云星空软件的服务器遭受了一场勒索病毒的网络安全攻击,其重要数据遭到了.locked勒索病毒的加密.作为一个知名的企业级ERP软件及财务软件,金蝶软件的数据安全事关客户和企业的 ...
- 当勒索病毒盯上视频产业,UP主们该如何保护数据安全?
作者 | 海怪 本文经授权转载自脑极体(ID:unity007) 4月27日,B站高人气UP主"机智的党妹"发布视频称,自己遭到黑客的攻击和勒索,再次引发人们对于网络安全和隐私保护 ...
- 勒索病毒爆发,WFilter教你如何应对?
这个周末,必将成为大部分网管难忘的一个周末. 过去的48小时,一轮勒索病毒攻击在全球肆虐.英国.俄罗斯.意大利相继沦陷.英国方面, 5月12日英国国家医疗服务体系遭遇了大规模网络攻击,多家公立医院的电 ...
- 国内首个比特币勒索病毒制作者落网,但过程有点好笑...
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 来源:扩展迷EXTFANS 所谓比特币勒索病毒,就是某一 ...
- 勒索病毒再次对能源行业数据安全保护敲响警钟
5 月 8日,据外媒纽约时报报道,美国最大成品油管道公司Colonial Pipeline被勒索软件攻击,据了解,实施网络攻击的黑客很可能是专业的网络犯罪团伙.为避免造成更大影响,该公司已主动切断部分 ...
最新文章
- 顺序特征选择器(SequentialFeatureSelector (SFS))
- 聚焦和增强卷积神经网络
- 卷积神经网络结构_卷积神经网络
- 2.图像作为函数 | 生成高斯噪音_8
- OpenGL(二)——OpenGL图形绘制
- CSS 小结笔记之伸缩布局 (flex)
- lepus监控oracle数据库_实用脚本一键监控oracle数据库索引使用状况
- rhel6+apache2.4+mysql5.7+php5.6部署LAMP架构
- 直接内存回收中的等待队列
- jmp怎么做合并的箱线图_JMP和Minitab的图形分析
- Python3安装turtle库(已成功安装)
- 三菱数控CNC系统G代码M代码大全
- 洛菲创意字体设计分享--绿斗堂字体网
- unity 2020 怎么写shader使其接受光照?_Unity中实现2D光照系统
- 笔记本使用wifi链接外网,同时有线链接内网详细设置,最后有bat文件,方便随时切换
- windows技巧之添加右键菜单
- Packet(信息包)
- 灵异事件之idea和金山词霸
- python安装扩展库常用的命令_Python环境——安装扩展库
- 记 · H2-2光猫telnet破解超管密码