中了lockbit加密勒索病毒,不知道大家有没有处理过类似的经验可以分享?
今天发现电脑中招了。该病毒导致所有文档、压缩包都被加密,加密后的文件后缀为lockbit。
然后会开机启动。启动项路径中发现会在 C:\user\USERNAME\music\ 目录下有两个文件,一个是LockBIT_E9582C17C5305452.exe 一个是NS_V2.EXE
前者应该是用来加密文件的,后者貌似是用来发现局域网其它可入侵的设备并继续传播的。
在被加密的文件同级目录还会产生一个txt文件,用来提示如何付费解密。因为里面含一个ID(同一环境下全是一样的,应该是用来区分用户),我把ID这行去掉了。
因为这两个文件直接就在电脑中,所以我打了个包。但是为了防止误操作,所以我把两个疑似病毒的exe文件改了一下后缀为.zip。
有兴趣研究的改一下后缀应该就能继续运行。其中还包含一个被加密的文件和勒索信息文件。
如果可以,也希望有大佬能提供一下解决方法
链接:https://pan.baidu.com/s/1QGjtrTcioiagmAkxbXYQFw
提取码:2che lockbit勒索,看你描述是远程桌面进去的
那个NS_v2是遍历你企业内的共享的,如果找到其他共享也会挂在被入侵的这台服务器上,一起把文件加密
基本没救了 FB让领导先拿 发表于 2021-7-22 18:25
lockbit勒索,看你描述是远程桌面进去的
那个NS_v2是遍历你企业内的共享的,如果找到其他共享也会挂在被入 ...
断外网3389,检查有没有映射到外网的高危端口
有外网业务的服务器,尽量禁用默认管理员,能改的密码都改了
要是有金蝶云桌面这种,看看有没有创建出来的默认账户,都得处理下
文件应该没啥办法了 FB让领导先拿 发表于 2021-7-22 18:27
断外网3389,检查有没有映射到外网的高危端口
有外网业务的服务器,尽量禁用默认管理员,能改的密码都改 ...
我也判断是远程桌面的漏洞,目前所有中招的机器我都断网了,还好文档类型的大部分有备份,不过仍然有少部分软件的配置文件也被判断成了文档被加密了。影响不大就是了 很好奇你上了什么网站导致这样了~~~ 很好奇你上了什么网站导致这样了~~~
求问
以后就能避免了嘿嘿 马一个,防一手,天知道会不会中枪 我八月初刚处理了公司同样的问题,只不过我这边中的是Phobos家族勒索病毒,加密后的文件是*.eking。后台找了服务商解密了几台服务器。我同事搞的,这种远程安全错略一定要做好。
页:
[1]