win7勒索病毒情况

tanta

一win7电脑中勒索病毒，相关情况记载以下，给大家参考
1、win7电脑情况，开远程桌面，端口改掉了，裸奔，无杀毒软件。
2、本地磁盘1、3所有文件都被加密，后缀 devos。
3、本地磁盘2所有数据库相关文件加密（sql、mdb、db等），其他文件没事。
4、病毒进程为fast.exe，在C盘5处发现，停掉就没事了。
5、火绒能拦住勒索病毒。我另一电脑火绒报警，没事。
6、没浏览网页、无优盘，大概率是通过系统漏洞入侵，提醒大家及时打补丁。
7、ghost文件照样加密。

zsnw9527

端口改掉了，还能中？ 我考

buxiang110

zsnw9527 发表于 2022-9-16 16:25
端口改掉了，还能中？ 我考

扫端口，现在的常规操作。要想避免，目前稍微安全的操作是动态开放端口，使用敲门脚本。否则就停用远程桌面。

it1771

buxiang110 发表于 2022-9-16 16:27
扫端口，现在的常规操作。要想避免，目前稍微安全的操作是动态开放端口，使用敲门脚本。否则就停用远程桌 ...

目前用的win10 ltsc 2021 每周更新补丁  改端口+验证3次错误封锁账号能拦住这种么  还是这种利用的漏洞只要扫到端口就突破了 无视密码？

Ramiel

it1771 发表于 2022-9-16 16:33
目前用的win10 ltsc 2021 每周更新补丁  改端口+验证3次错误封锁账号能拦住这种么  还是这种利用的漏洞只 ...

没用,并非通过账号验证

it1771

Ramiel 发表于 2022-9-16 16:38
没用,并非通过账号验证

IPsec 连回家 再远程协助 这种方案 安全性更好一些？

Ramiel

it1771 发表于 2022-9-16 16:41
IPsec 连回家 再远程协助 这种方案 安全性更好一些？

东西向只要确保win主机没有任何端口暴露在公网即可

Exfat

rdp最好别开就算是向日葵之类的远程工具也是不安全的，rdp就算要开也最好配合虚拟专用网络使用

uuyyhhjj

弱密码或者其他程序的端口吧，我winserver长期暴露公网没事，win10用了一次空密码24小时都没撑到就进来了，现在系统我测试下来是很安全了，自带防火墙别关，浏览器用chrome随便看，完全能裸奔，杀软我从WIN8开始就没装过了

yoloh

搞不懂为啥非要裸奔？现在卡巴斯基都有免费版，据我个人在虚拟机里测试，能过卡巴免费版的病毒很少很少。

BetaHT

zsnw9527 发表于 2022-9-16 16:25
端口改掉了，还能中？ 我考

改端口没用。要上强密码。

BetaHT

yoloh 发表于 2022-9-16 16:48
搞不懂为啥非要裸奔？现在卡巴斯基都有免费版，据我个人在虚拟机里测试，能过卡巴免费版的病毒很少很少。 ...

杀软方面不得不说，360是强的。

BetaHT

我也遇到过。因为数据多，被锁了大概30%文件后发现了，赶紧拔了电源。之后用备份做了恢复。

经验是：
windows的3389一定要设强密码。不需要时停掉RDP功能。
无人值守的电脑装杀软真不一定有用，脚本进来可能会手动把杀软关掉。（不过杀软都是要安装的，毕竟只是可能）
可以用端口转发功能自己做个网闸，按需开放。有的电信光猫自带的软件也支持虚拟服务器功能，一键开放端口，很方便。
自己可以写个程序，摆几个蜜罐，蜜罐损坏直接警告、关电源之类（结合编程插座，设想的）
挂载的NAS盘可以考虑数据权限控制，但嫌麻烦，没做。
数据安全只能靠多备份，3-2-1，备份数据要离线。

感觉和win7不一定有很大关系。

Roselle

我win10也是长期暴露3389的，平均每秒好几个攻击，设置的强密码，目前3年多了吧，还没有失手

canonkong

这个月初，公司的win10的机器和server2109服务器和NAS也中了勒索病毒，这些机器都安装了并开着向日葵...最后只能某宝找中介花了2.4万解了...

NEVERLANDCG

canonkong 发表于 2022-9-16 19:14
这个月初，公司的win10的机器和server2109服务器和NAS也中了勒索病毒，这些机器都安装了并开着向日葵...最 ...

这些机器安装了什么杀毒软件？

canonkong

NEVERLANDCG 发表于 2022-9-16 20:10
这些机器安装了什么杀毒软件？

没装，只开启了windows defender。

nodlinxinyang

应该是没打补丁吧，以前试过局域网用永恒之蓝入侵，还能找到好几台机子没打补丁 几句命令就拿到控制了

futurejl

WIN10 开 设备加密 BITlocker 是否能防止这个病毒？

it1771

futurejl 发表于 2022-9-16 21:42
WIN10 开 设备加密 BITlocker 是否能防止这个病毒？

没用 这个只防无授权访问 比如把硬盘拆下来放到其他电脑上访问。已经登陆的电脑 运行的病毒已经是授权状态了

wujiwu

马克到时候研究一下，目前来说主要还是通过漏洞扫描被注入？

godlike007

BetaHT 发表于 2022-9-16 17:33
杀软方面不得不说，360是强的。

wannacry当年冲爆国内高校，很多大学生电脑装360但没防住，毕设直接gg

lostgid

路由器上添加了三个策略：单独访问3389、访问21, 22, 23等高危端口、或者有几秒之内访问端口太频繁的，都加到黑名单。因为我自己在公网不会使用这些端口的。
从实际数据来看，第二条规则的名单最多，3389其次，端口全部扫的最少。
半个月6000多条。

也一直在防备各种病毒，抛砖引玉。

ain

说白了就是杀毒，防火墙很多，但是合适中国人习惯的基本么有
为什么大家不用，就是用的不舒服，或是遇到问题一样挂。

bbc131

裸奔无法理解，裸奔的人都是IT高手吗？

chs

多备份才是王道。

之前公司服务器中毒了，直接重装恢复数据。

大姨舅

移动大内网会比公网ip安全一些吗

hayse

补丁没打？防火墙也关了啊？密码强度够吗，看下日志吧。

ddtl

2022年了还有没打勒索补丁的win7?