最近国内勒索病毒越来越猖狂了

adc2021

2022年7月28号，黑客在我公司的服务器放了远程后门和勒索病毒，但是未执行。7月31号晚上8点多得时候，才开始开始操作。8月1号的时候，我登录服务器时发现密码不对，感觉不太对劲。怀疑可能被攻击了，于是使用U盘进去PE更改密码，登进去之后发现文件全部被加密。除了系统文件和黑客留的病毒和勒索信息外，所有的文件全部被加密。使用360解密、火绒解密全都无解，查询是phobos勒索病毒，目前无解。直接找黑客对接，对面要价1800美元，要求比特币支付，但是我们公司没一个人会使用比特币的，所以就找了第三方数据恢复商和黑客对接。数据恢复商有担保的，可以先给黑客先垫付，成功了才收费，不成功我们也没有损失，所以就签订合同联系黑客解密。解密也是一波三折吧，黑客发的解密程序运行不了，数据商让他们重新做的又运行不了，而黑客他们那边运行没问题，最后没办法，让黑客远程帮我解密了。好在黑客还算讲信用，直接解锁，没有二次加密和留后门。不过，为了安全，数据备份好后，我们还是重装了系统和格盘了。这次中毒的原因是因为使用了旧版的向日葵远程软件版本为10.0，向日葵11及以下版本都是有漏洞的，黑客无需知道你电脑的登录密码就能控制你的电脑。而且，当时服务器没装杀软。。，哎，如果当时装了杀软，不知道会怎样。但是数据恢复商说，加密过程如果被杀软打断，那文件就救不回来了。因为你电脑被黑客远程控制了，他可以直接结束你的杀软进程，有杀软都没用。能起到一点防御作用的是火绒开启密码保护，360企业版设置退出密码，还有卡巴斯基也能设置退出密码能起到一点防御作用，但是如果遇到超级厉害的黑客，那也是一点用都没有。真正要想防御，还是做好预防开始。

小白防御措施
系统打补丁，装一个专业的杀软，比如卡巴斯基专业版，免费的杀软推荐火绒+卡巴；复杂的登录密码：大小写字母+数字+符号，并且每3个月更换一次密码；不要使用内置的管理员账户，最好新建一个中文名字的管理员账户；关闭系统自带的远程，使用第三方远程软件，要没有漏洞的版本，比如向日葵12及以上版本，并且不用的时候记得退出软件。

专业的防御方法
来自专业的数据恢复商提供，很详细，小白也看得懂，文件有点大，无法直接上传，放网盘了，需要的自己下载。
网盘链接.zip (298 Bytes, 下载次数: 75)

2022-8-24 09:38 上传

点击文件名下载附件

zjdpass

谢谢楼主！！！！

梦游Beef

小作文不错

1104008306

楼主，我有个问题。公司一般不都是内网使用跳板机登录服务器，外网使用virtual**访问跳板机再登录服务器吗？难道你们在服务器上部署了向日葵？

a7077447

使用中文用户名的方法应该不错

adc2021

1104008306 发表于 2022-8-24 09:54
楼主，我有个问题。公司一般不都是内网使用跳板机登录服务器，外网使用virtual**访问跳板机再登录服务器吗 ...

使用跳板机确实可以避免这个问题，但是服务器是直接暴露在公网上面的，只要破解了远程桌面照样被控制。还有一个就是服务器装了OA，黑客也可以破解数据库弱口令从而控制电脑。这次中毒后，我们才加强了防范，之前登录密码也简单，OA软件商也加强了数据库密码了，并且做好了数据异地备份，现在不幸中毒的话可以直接重做系统解决。

11651189

谢谢分享经验，以后我也得注意备份数据了，虽然只是普通人。