中了勒索病毒,后缀.devil
本帖最后由 小小姜 于 2020-2-15 21:27 编辑公司正月十五中了.devil勒索病毒,晚上10点钟中的毒。服务器多达10余台。放假期间开的3389端口。排查后发现是入侵的某一台开头3389的服务器。相继感染了10余台。主要是数据比较多。现在业务还处在瘫痪状态。如何预防勒索病毒再次攻击。请教一下各位大神。
外网端口是别的映射的内网的3389.并且我查看电脑日志。我的电脑当天晚上也被中毒的电脑访问过,但是我的电脑没被感染。请问我的电脑也需要重装一下吗?不仅仅我的电脑好多台电脑都被那台电脑访问过。但是都没有感染。
对了,还有一个关键的:我刚发现的时候是有个查看网络的工具关键是中文的。具体名字我忘记了。类似查看进程、局域网流量占用的。 楼主你这个很悲催哟。我去年4月中过勒索,与所留邮箱发了几次邮件,晓之以情动之有理,对方居然把解码程序发给我了,然后文件居然全部回来了。后来,服务器直接关了外网访问,不敢用远程桌面了。如果有需要用的情形,我都是远程访问内网主机,然后用内网再访问服务器。 我的服务器作为软路由和网站使用,开着3389,也没改其它端口号,因为网络是在家里的,所以我没映射3389,而是通过远程路由器页面去开机局域网的一台主机,然后通过外网3388映射内网那台主机3389链接远程桌面,在再从该主机输入局域网ip去链接服务器的远程桌面! 3389端口,我12年都知道扫描端口然后入Q 3D迷糊老师 发表于 2020-2-15 21:10
3389端口,我12年都知道扫描端口然后入Q
意思是开3389是很危险的一件事喽? 小小姜 发表于 2020-2-15 21:13
意思是开3389是很危险的一件事喽?
可以改别的端口进行远程连接 直接开3389是很危险的一件事,最好改端口号进行安全设备。 卧槽小城大佬 发表于 2020-2-15 21:17
可以改别的端口进行远程连接
不敢开了。该别的端口也不敢了。公司ERP,用友服务器。WMS服务器。文件服务器等全部中招 小小姜 发表于 2020-2-15 21:13
意思是开3389是很危险的一件事喽?
不建议默认端口为3389 卧槽小城大佬 发表于 2020-2-15 21:19
不建议默认端口为3389
我的内网端口是3389,外网端口映射的别的。 以前就知道批量扫描3389端口各种...建议用别的端口 密码太简单了吧