感觉被远程登录了,用户登录密码也被修改了,文件名及后缀被修改,中毒Neshta.c
本帖最后由 hr88rong 于 2024-9-22 15:57 编辑电脑是设置到点自动开机,今天如往常一样要登录电脑,发现密码怎么输入都是错误的,用工具清了密码(win7系统)
查看系统安全日志,看到很多奇怪的登录【特殊登录、审核策略更改……】,还有一条日志清除的,本人未做清除操作。
计算机那边还出现好多网络附加卷
很多rar、jpg、pdf、MP4文件名称后面都加入.[].[].wstop这串字符,把后面那串支付全部去掉恢复原来的后缀,文件依旧损坏无法打开。
不知道如何处理,有碰到类似情况的吗?凌晨0点刚好自动关机,不然可能更严重。
这里哪位知道,他的加密机制,目前看域环境的损失会很大,比较典型的入侵,通过445端口攻击,但不知道,没有写权限时,能不能当得住?如果能,那就得提高登录的安全机制,根据外网的攻击视频,他注入新的用户名密码,并且是admin权限,然后进行加密,完成后,禁用了user profile service服务,导致用户无法登录。貌似日志也会被清除。不知哪位大神帮看看,他是不是这么操作的。 让我想起来之前有一次凌晨4点没睡坐在屏幕前玩手机(鬼使神差有半个小时没动电脑但屏幕是亮的),突然发现有人看我PC微信的收藏,直接控制我鼠标那种,然后开始看聊天记录,我愣了半分钟确认是不是做梦或者眼花了。。。并没有想到审什么好的对策,直接接管鼠标断网开始看进程,被我找到了。。。第一次遇到真的吓出一身冷汗。。。 断网,重新安装系统以后查杀D,E,FG..... 明显中了勒索病毒 这是勒索病毒吧,重装系统 这种稀奇事还是头一回见 很明显勒索病毒 被勒索病毒了。 没有24小时开机需要不建议没人的时候长时间开机。如果是台式机,建议弄个支持米家的智能开关,台式机设置为来电自启。需要的时候开机,不需要的时候赶快关机。 这文件应该是恢复不了了。火绒,啥的,没防住吗 安全很重要,重装系统后杀毒看看吧