中了勒索病毒，后缀.devil

小小姜 · 发表于 2020-2-15 21:09

本帖最后由小小姜于 2020-2-15 21:27 编辑

公司正月十五中了.devil勒索病毒，晚上10点钟中的毒。服务器多达10余台。放假期间开的3389端口。排查后发现是入侵的某一台开头3389的服务器。相继感染了10余台。主要是数据比较多。现在业务还处在瘫痪状态。如何预防勒索病毒再次攻击。请教一下各位大神。
外网端口是别的映射的内网的3389.并且我查看电脑日志。我的电脑当天晚上也被中毒的电脑访问过，但是我的电脑没被感染。请问我的电脑也需要重装一下吗？不仅仅我的电脑好多台电脑都被那台电脑访问过。但是都没有感染。
对了，还有一个关键的：我刚发现的时候是有个查看网络的工具关键是中文的。具体名字我忘记了。类似查看进程、局域网流量占用的。

hongxk · 发表于 2020-2-15 23:19

楼主你这个很悲催哟。我去年4月中过勒索，与所留邮箱发了几次邮件，晓之以情动之有理，对方居然把解码程序发给我了，然后文件居然全部回来了。后来，服务器直接关了外网访问，不敢用远程桌面了。如果有需要用的情形，我都是远程访问内网主机，然后用内网再访问服务器。

ps1989 · 发表于 2020-3-10 18:53

我的服务器作为软路由和网站使用，开着3389，也没改其它端口号，因为网络是在家里的，所以我没映射3389，而是通过远程路由器页面去开机局域网的一台主机，然后通过外网3388映射内网那台主机3389链接远程桌面，在再从该主机输入局域网ip去链接服务器的远程桌面！

3D迷糊老师 · 发表于 2020-2-15 21:10

3389端口，我12年都知道扫描端口然后入Q

小小姜 · 发表于 2020-2-15 21:13

3D迷糊老师发表于 2020-2-15 21:10
3389端口，我12年都知道扫描端口然后入Q

意思是开3389是很危险的一件事喽？

卧槽小城大佬 · 发表于 2020-2-15 21:17

小小姜发表于 2020-2-15 21:13
意思是开3389是很危险的一件事喽？

可以改别的端口进行远程连接

sc9688 · 发表于 2020-2-15 21:19

直接开3389是很危险的一件事，最好改端口号进行安全设备。

小小姜 · 发表于 2020-2-15 21:19

卧槽小城大佬发表于 2020-2-15 21:17
可以改别的端口进行远程连接

不敢开了。该别的端口也不敢了。公司ERP，用友服务器。WMS服务器。文件服务器等全部中招

卧槽小城大佬 · 发表于 2020-2-15 21:19

小小姜发表于 2020-2-15 21:13
意思是开3389是很危险的一件事喽？

不建议默认端口为3389

小小姜 · 发表于 2020-2-15 21:21

卧槽小城大佬发表于 2020-2-15 21:19
不建议默认端口为3389

我的内网端口是3389，外网端口映射的别的。

aixiaodemj · 发表于 2020-2-15 21:21

以前就知道批量扫描3389端口各种...建议用别的端口

cxx0515 · 发表于 2020-2-15 21:38

密码太简单了吧

帐号		自动登录	找回密码
密码			注册[Register]

中了勒索病毒，后缀.devil

免费评分

免费评分