找回密码
 加入我们
搜索
      
查看: 11968|回复: 40

[存储] win7勒索病毒情况

[复制链接]
发表于 2022-9-16 16:17 | 显示全部楼层 |阅读模式
本帖最后由 tanta 于 2022-9-16 16:19 编辑

一win7电脑中勒索病毒,相关情况记载以下,给大家参考
1、win7电脑情况,开远程桌面,端口改掉了,裸奔,无杀毒软件。
2、本地磁盘1、3所有文件都被加密,后缀 devos。
3、本地磁盘2所有数据库相关文件加密(sql、mdb、db等),其他文件没事。
4、病毒进程为fast.exe,在C盘5处发现,停掉就没事了。
5、火绒能拦住勒索病毒。我另一电脑火绒报警,没事。
6、没浏览网页、无优盘,大概率是通过系统漏洞入侵,提醒大家及时打补丁。
7、ghost文件照样加密。
发表于 2022-9-16 16:25 | 显示全部楼层
端口改掉了,还能中? 我考
发表于 2022-9-16 16:27 | 显示全部楼层
zsnw9527 发表于 2022-9-16 16:25
端口改掉了,还能中? 我考

扫端口,现在的常规操作。要想避免,目前稍微安全的操作是动态开放端口,使用敲门脚本。否则就停用远程桌面。
发表于 2022-9-16 16:33 | 显示全部楼层
buxiang110 发表于 2022-9-16 16:27
扫端口,现在的常规操作。要想避免,目前稍微安全的操作是动态开放端口,使用敲门脚本。否则就停用远程桌 ...

目前用的win10 ltsc 2021 每周更新补丁  改端口+验证3次错误封锁账号能拦住这种么  还是这种利用的漏洞只要扫到端口就突破了 无视密码?
发表于 2022-9-16 16:38 | 显示全部楼层
it1771 发表于 2022-9-16 16:33
目前用的win10 ltsc 2021 每周更新补丁  改端口+验证3次错误封锁账号能拦住这种么  还是这种利用的漏洞只 ...

没用,并非通过账号验证
发表于 2022-9-16 16:41 | 显示全部楼层
Ramiel 发表于 2022-9-16 16:38
没用,并非通过账号验证

IPsec 连回家 再远程协助 这种方案 安全性更好一些?
发表于 2022-9-16 16:44 | 显示全部楼层
it1771 发表于 2022-9-16 16:41
IPsec 连回家 再远程协助 这种方案 安全性更好一些?

东西向只要确保win主机没有任何端口暴露在公网即可
发表于 2022-9-16 16:46 | 显示全部楼层
rdp最好别开就算是向日葵之类的远程工具也是不安全的,rdp就算要开也最好配合虚拟专用网络使用
发表于 2022-9-16 16:46 | 显示全部楼层
弱密码或者其他程序的端口吧,我winserver长期暴露公网没事,win10用了一次空密码24小时都没撑到就进来了,现在系统我测试下来是很安全了,自带防火墙别关,浏览器用chrome随便看,完全能裸奔,杀软我从WIN8开始就没装过了
发表于 2022-9-16 16:48 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2022-9-16 17:33 | 显示全部楼层
zsnw9527 发表于 2022-9-16 16:25
端口改掉了,还能中? 我考

改端口没用。要上强密码。
发表于 2022-9-16 17:33 | 显示全部楼层
yoloh 发表于 2022-9-16 16:48
搞不懂为啥非要裸奔?现在卡巴斯基都有免费版,据我个人在虚拟机里测试,能过卡巴免费版的病毒很少很少。 ...

杀软方面不得不说,360是强的。
发表于 2022-9-16 17:43 | 显示全部楼层
本帖最后由 BetaHT 于 2022-9-16 17:45 编辑

我也遇到过。因为数据多,被锁了大概30%文件后发现了,赶紧拔了电源。之后用备份做了恢复。

经验是:
windows的3389一定要设强密码。不需要时停掉RDP功能。
无人值守的电脑装杀软真不一定有用,脚本进来可能会手动把杀软关掉。(不过杀软都是要安装的,毕竟只是可能)
可以用端口转发功能自己做个网闸,按需开放。有的电信光猫自带的软件也支持虚拟服务器功能,一键开放端口,很方便。
自己可以写个程序,摆几个蜜罐,蜜罐损坏直接警告、关电源之类(结合编程插座,设想的)
挂载的NAS盘可以考虑数据权限控制,但嫌麻烦,没做。
数据安全只能靠多备份,3-2-1,备份数据要离线。

感觉和win7不一定有很大关系。
发表于 2022-9-16 17:49 | 显示全部楼层
我win10也是长期暴露3389的,平均每秒好几个攻击,设置的强密码,目前3年多了吧,还没有失手
发表于 2022-9-16 17:56 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2022-9-16 19:14 来自手机 | 显示全部楼层
这个月初,公司的win10的机器和server2109服务器和NAS也中了勒索病毒,这些机器都安装了并开着向日葵...最后只能某宝找中介花了2.4万解了...
发表于 2022-9-16 20:10 | 显示全部楼层
canonkong 发表于 2022-9-16 19:14
这个月初,公司的win10的机器和server2109服务器和NAS也中了勒索病毒,这些机器都安装了并开着向日葵...最 ...

这些机器安装了什么杀毒软件?
发表于 2022-9-16 20:44 来自手机 | 显示全部楼层
NEVERLANDCG 发表于 2022-9-16 20:10
这些机器安装了什么杀毒软件?


没装,只开启了windows defender。
发表于 2022-9-16 21:09 | 显示全部楼层
应该是没打补丁吧,以前试过局域网用永恒之蓝入侵,还能找到好几台机子没打补丁 几句命令就拿到控制了
发表于 2022-9-16 21:42 | 显示全部楼层
WIN10 开 设备加密 BITlocker 是否能防止这个病毒?
发表于 2022-9-16 21:57 | 显示全部楼层
futurejl 发表于 2022-9-16 21:42
WIN10 开 设备加密 BITlocker 是否能防止这个病毒?

没用 这个只防无授权访问 比如把硬盘拆下来放到其他电脑上访问。已经登陆的电脑 运行的病毒已经是授权状态了
发表于 2022-9-16 22:29 来自手机 | 显示全部楼层
马克到时候研究一下,目前来说主要还是通过漏洞扫描被注入?
发表于 2022-9-16 22:34 | 显示全部楼层
BetaHT 发表于 2022-9-16 17:33
杀软方面不得不说,360是强的。

wannacry当年冲爆国内高校,很多大学生电脑装360但没防住,毕设直接gg
发表于 2022-9-16 22:39 | 显示全部楼层
路由器上添加了三个策略:单独访问3389、访问21, 22, 23等高危端口、或者有几秒之内访问端口太频繁的,都加到黑名单。因为我自己在公网不会使用这些端口的。
从实际数据来看,第二条规则的名单最多,3389其次,端口全部扫的最少。
半个月6000多条。
微信截图_20220916223325.jpg
也一直在防备各种病毒,抛砖引玉。
发表于 2022-9-16 23:43 | 显示全部楼层
说白了就是杀毒,防火墙很多,但是合适中国人习惯的基本么有
为什么大家不用,就是用的不舒服,或是遇到问题一样挂。
发表于 2022-9-17 00:36 | 显示全部楼层
裸奔无法理解,裸奔的人都是IT高手吗?
发表于 2022-9-17 02:35 | 显示全部楼层
多备份才是王道。

之前公司服务器中毒了,直接重装恢复数据。

发表于 2022-9-17 07:39 | 显示全部楼层
移动大内网会比公网ip安全一些吗
发表于 2022-9-17 16:08 | 显示全部楼层
补丁没打?防火墙也关了啊?密码强度够吗,看下日志吧。
发表于 2022-9-17 16:19 | 显示全部楼层
2022年了还有没打勒索补丁的win7?
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

Archiver|手机版|小黑屋|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2024-11-27 08:34 , Processed in 0.013533 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2007-2024 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表