中招勒索病毒了

gxman

前几天远程用了一下win7虚拟机，开了端口忘记关，结果中招了，最牛逼的是为了方便，家里几台nas都用smb连着虚拟机，所以被一锅端了，十几T的东西，欲哭无泪

Processed

你的NAS都是win server？

gxman

gxman 发表于 2020-11-20 08:11 前几天远程用了一下win7虚拟机，开了端口忘记关，结果中招了，最牛逼的是为了方便，家里几台nas都用smb连着虚拟机，所以被一锅端了，十几T的东西，欲哭无泪

感觉是国内二道贩子弄的，告知文件英语拼写有语法错误，还另外修改了文件名，隐藏了加密文件的家族后缀，检查了一个中招的txt文件，有一部分显示正常，似乎是开头和结尾加了些二进制的数据，中间部分并没有动，这也解释了为何用性能低下的虚拟机几个小时就能感染全部文件。来自: iPhone客户端

gxman

Processed 发表于 2020-11-20 08:18 你的NAS都是win server？

群晖来自: iPhone客户端

长末

gxman 发表于 2020-11-20 08:25
群晖

群晖搞那个快照了吗？试试看

—— 来自 Realme RMX1901, Android 10上的 S1Next-鹅版 v2.4.3

gxman

长末 发表于 2020-11-20 08:27 引用:gxman 发表于 2020-11-20 08:25 群晖 群晖搞那个快照了吗？试试看  —— 来自 Realme RMX1901, Android 10上的 S1Next-鹅版 v2.4.3

没用那个，搞的raid，但raid不防病毒啊，待会准备用数据恢复软件看看删除的数据能不能恢复一些来自: iPhone客户端

defer

我nas都是只读的，只开一个目录可写，然后时不时远程上去把可写目录里的东西挪走分类。

hftrrt

关键还是设好权限,除了管理的设备,绝大部分设备给只读权限就够了

Benighted

我对外只开wireguard

  -- 来自 能手机投票的 Stage1官方 Android客户端

gxman

hftrrt 发表于 2020-11-20 08:45 关键还是设好权限,除了管理的设备,绝大部分设备给只读权限就够了

这个对，大意了来自: iPhone客户端

gxman

无印凉粉 发表于 2020-11-20 08:57 我挺好奇你们都上些什么网站啊，这么容易遇见勒索病毒。 假冒勒索病毒的骗子邮件我倒是见过不少。

勒索病毒一般不是靠邮件之类的，而是扫描端**力破解远程桌面密码，然后桌面环境手动下毒来自: iPhone客户端

Benighted

先看看有没有现成的解密工具吧....
https://www.nomoreransom.org/en/decryption-tools.html
https://noransom.kaspersky.com/
https://lesuobingdu.360.cn/

radar

哈哈 几个月前长期开机开端口的win7就中招了，还好只是个视频播放机…
当时另一台文件共享的力气也没开机。

理论上如果不做整个分区网络映射的话，一台机不会搞成全毁。这个事只能是吸取教训了，外网访问还是需要加点验证门槛，要不就是裸奔…

gxman

Benighted 发表于 2020-11-20 09:07 先看看有没有现成的解密工具吧.... https://www.nomoreransom.org/en/decryption-tools.html https://noransom.kaspersky.com/ https://lesuobingdu.360.cn/

谢了，这玩意的监测机制是后缀名，黑我这孙子加密完又把文件名改回去了，下了个360正一个个改后缀名试呢来自: iPhone客户端

橋白

nas小白问一下一般怎么看自己在外网暴露了哪些端口？我的群晖买回来也没咋设置 就是存各种视频live和剧 外网连回nas的话好像还要群晖的套件app

lionheart

橋白 发表于 2020-11-20 11:06
nas小白问一下一般怎么看自己在外网暴露了哪些端口？我的群晖买回来也没咋设置 就是存各种视频live ...

装个nmap扫一下

橋白

lionheart 发表于 2020-11-20 11:27
装个nmap扫一下

是需要在不同的网络环境下扫自己的ip地址吗？
还是说内网环境找台电脑也行？
刚刚用nmap在内网扫了一下nas的192.168.x.x 发现好多端口露着

Benighted

橋白 发表于 2020-11-20 11:46
是需要在不同的网络环境下扫自己的ip地址吗？
还是说内网环境找台电脑也行？
刚刚用nmap在内网扫了一下na ...

先确定下你的ISP有没有给你独立的公网IP，如果有的话从互联网扫描这个IP。 路由器建议关闭UPnP

橋白

Benighted 发表于 2020-11-20 12:30
先确定下你的ISP有没有给你独立的公网IP，如果有的话从互联网扫描这个IP。 路由器建议关闭UPnP ...

刚才更新了一下群晖的系统，发现好像群晖是自己有组件查看外部端**露的，扫了一下我应该是没有啥问题

重巡羊舰

扫描端**力破解……这效率感觉也太低了吧&……

Evilgurren

445映射到公网？还是说3389被暴力破解了？

gxman

Evilgurren 发表于 2020-11-20 13:14 445映射到公网？还是说3389被暴力破解了？

虚拟机3389映射到外网5****的端口，被扫描到了来自: iPhone客户端

董卓

还真有人扫外网非原始值的端口的啊？
我自己搭的http和l2tp协议都4~5年了，为就挺没感觉的呢…

faked_uid

我以前也用过RDP，不过我的Windows账户密码还是不短的，即便是这样我都害怕，毕竟RDP服务本身以前就爆过漏洞，比如bluekeep，利用漏洞的话就无所谓什么密码了，直接钻进系统里。

faked_uid

gxman 发表于 2020-11-20 08:25
感觉是国内二道贩子弄的，告知文件英语拼写有语法错误，还另外修改了文件名，隐藏了加密文件的家族后缀， ...

不是吧，加密了，给钱兴许还可以买回密钥解密数据；如果是把数据破坏了，那就坑了。

还有，我印象里当时wannacry就是分几步的，并不是第一轮就加密全部数据，所以效率源当初就搞过一个恢复工具。
说不定你这也是类似的情况。

Xerxes_2

我路由器的ssh对公网开放了两年，最近才发现
而且账号密码全是默认

—— 来自 OnePlus GM1910, Android 10上的 S1Next-鹅版 v2.4.3

qieyifonger

远程桌面执行漏洞，了解一下，破解什么密码，完全不需要～

—— 来自 Xiaomi Redmi K20 Pro Premium Edition, Android 10上的 S1Next-鹅版 v2.4.3

chachi

所以说不打补丁，还用win7 是几个意思

faked_uid

还有，多年以前，有人给过一个建议（现在说大概迟了），就是中勒索后，不要杀毒也不要重启，要尽量保留现场，用任务管理器、procexp之类的工具把内存dump出来。（睡眠大概也是同理）
https://www.zhihu.com/question/46715248/answer/112125941
这个思路很像是针对bitlocker的冷启动攻击。原理是勒索病毒在执行加密时，一般要用到对称加密算法，因为加密也是靠软件（CPU）运算完成的，所以理论上，以及实验环境里，系统内存里可以直接挖到明文的密钥。
但是，实际上这个思路能救回数据的希望还是很渺茫，因为病毒在加密完成后还是会在内存里清除掉密钥。现实里等到受害者发现中招，一般加密都已经完成了，明文的对称密钥已经被清除，能找到的密钥都是用RSA之类非对称加密过的，这样只有攻击者才可以解密，还是免不了要交钱，或者放弃。而且就像wannacry那样的勒索，每加密一个文件都会换一个对称密钥，这样即便是侥幸挖到一个密钥，也是杯水车薪。

laotoutou

你也太威了，还在用win7。补丁还有吗？

EraserKing

所以就只开几个HTTPS的服务，每个都有独立登录页面，如果有漏洞也就认了

只有Transmission不能跑在HTTPS上，只好用Nginx做了个HTTPS的反代

3389还是算了，留给Wireguard吧

mp5

敢将远程桌面端口对外开放的只能说牛逼了，你哪怕弄个pptp连接过来再远程也比直接开放端口安全

----发送自 STAGE1 App for Android.

小妻水亚美

话说我这边向日葵不关会有影响吗

—— 来自 OnePlus GM1910, Android 10上的 S1Next-鹅版 v2.2.2

fat

啊我跟楼主很像！我也是外网3xxx端口映射到内网3389的虚拟机了。虚拟机是win10 ltsc，会容易中招吗。我赶紧先把虚拟机到群晖的smb关了先。。。