中招勒索病毒lockbit2.0了,请问现在有救了吗
唉,描述一下事情的经过吧。周末晚上想远程办公连接一下单位的电脑,发现登录失败密码不对,察觉有些异常,再尝试登录系统内的备用用户,提示超过连接限制,知道出事了,电脑应该是被别人远程控制了。随后就发现家中开着机的两台电脑,自己锁屏了,再打开的时候开了系统默认的音乐文件夹,里边有一个bat文件一个lockbit***.exe。这才意识到是勒索病毒,第一时间改掉了家中一台电脑的登陆密码,检查了一下启动项,全盘查杀了一遍,没有文件受损。另外一台电脑慢了几分钟,怕来不及,直接断网断电了,再开机看已经晚了,电脑内的文件被加密了一半,桌面也提示是lockbit2.0了。这时反应过来可能是RDP端口的问题,赶紧把VPS关了,里边跑了frps做内网穿透,试图阻断病毒对我单位电脑的继续控制,不过文件加密只要一开始没法断电的话估计就白搭了。粗略的检查了一遍NAS,跑Armbian的N1似乎没什么大问题都关机了。搜了一晚上这个勒索病毒相关的信息,基本上是无解,只能抱有一丝侥幸心理。周一早上到单位用密保问题重置了开机密码,打开一看,果然,单位电脑上几乎所有的文件都被加密了,火绒应该是电脑被远程控制之后就被关闭了,那个bat文件把系统还原点都删除了,应该什么都恢复不了了,感到绝望。
:'(weeqw:'(weeqw
回想一下应该是frp暴露了3389端口,被人RDP爆破黑了进来,纯数字开机密码,唉,大意了。至于家里的电脑应该是通过我单位电脑上的远程桌面的访问纪录连上的,我还保存了密码。胃痛。
{:1_908:}{:1_908:}
单位电脑上的文件,有个去年9月份的全盘备份,就是最近几个月的东西不太好办了,只能找找微信记录、邮件记录什么的了,最难受的就是前两周刚做的PPT和写的报告没了,还没给其他人发过,一点记录都没有。现在单位的电脑还断着网开着机呆着,目前计划是把被感染的两块硬盘直接取下来封存,等有办法解密lockbit的时候再拿出来试试了,从家里带了个笔记本来办公,后面带两块硬盘替换被感染的那两块重装系统吧。
希望大家能吸取我的教训!!!【备份次数太少!频率太低!】【RDP默认3389端口没改】【开机密码纯数字强度太低】【没有设置密码尝试次数限制】
最后想问一下各位大佬,现在有没有一丝希望能够解密文件,这两天搜到一个新闻说日本警方似乎突破了lockbit3.0。另外想问问,淘宝上的数据恢复商家可靠吗?
硬盘格式化然后数据恢复软件试试 先找个U盘把文件加密试试能不能恢复再进行 火绒可以设置退出密码保护 这样黑客即使连进来也不能退出火绒 然后无法运行病毒文件火绒也有防篡改保护估计你也没开 本帖最后由 ialove 于 2023-3-9 14:31 编辑
祝平安
FRP内网穿透,是不是两边装了才能,ANYDESK之类不更方便吗? ialove 发表于 2023-3-9 14:29
祝平安
FRP内网穿透,是不是两边装了才能,ANYDESK之类不更方便吗?
用过ANYDESK,不知道是不是电信的原因,速度非常感人,用来远程办公太慢了{:1_908:} 祝平安,看来我也得注意了,我的密码什么的都简单,而且还保存在本底,没有安全概念。被人控制了的话,密码都暴露了 我前端时间也是的, frps端口开了. 密码纯数字忘记改了. 后来我30T的全没了.生气 全不格式化再搞一遍.NND 那看来这些FRPS都不安全啊 可以分享下lockbit***.exe吗,谢谢
我的frp是用iptables控制的,iptables可以用两种方式控制,一种是地域我现在就是用china白名单。
另一种是通过ping包大小来打开。 还好目前只有windows系统容易中招 系统内部署个内网v*P*N 通过vpn认证进来,frp透传vpn口 如果数据比较重要的话,建议找找当地的做数据恢复这行的人看看有没有希望(拙见)
页:
[1]
2