用frps做內網(wǎng)穿透服務器的多注意-小心中招勒索病毒lockbit2.0
[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務,掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!
前幾天有網(wǎng)友找到我,問中了勒索病毒還有救么?過來了兩張圖;
經(jīng)過客戶的自述,發(fā)現(xiàn)客戶用了frps做內網(wǎng)穿透服務器時暴露了3389端口被黑進來的;
客戶說:周末晚上想遠程辦公連接一下單位的電腦,發(fā)現(xiàn)登錄失敗密碼不對,察覺有些異常,再嘗試登錄系統(tǒng)內的備用用戶,提示超過連接限制,知道出事了,電腦應該是被別人遠程控制了。隨后就發(fā)現(xiàn)家中開著機的兩臺電腦,自己鎖屏了,再打開的時候開了系統(tǒng)默認的音樂文件夾,里邊有一個bat文件一個lockbit***.exe。這才意識到是勒索病毒,第一時間改掉了家中一臺電腦的登陸密碼,檢查了一下啟動項,全盤查殺了一遍,沒有文件受損。另外一臺電腦慢了幾分鐘,怕來不及,直接斷網(wǎng)斷電了,再開機看已經(jīng)晚了,電腦內的文件被加密了一半,桌面也提示是lockbit2.0了。這時反應過來可能是RDP端口的問題,趕緊把VPS關了,里邊跑了frps做內網(wǎng)穿透,試圖阻斷病毒對我單位電腦的繼續(xù)控制,不過文件加密只要一開始沒法斷電的話估計就白搭了。粗略的檢查了一遍NAS,跑Armbian的N1似乎沒什么大問題都關機了。
搜了一晚上這個勒索病毒相關的信息,基本上是無解,只能抱有一絲僥幸心理。周一早上到單位用密保問題重置了開機密碼,打開一看,果然,單位電腦上幾乎所有的文件都被加密了,火絨應該是電腦被遠程控制之后就被關閉了,那個bat文件把系統(tǒng)還原點都刪除了,應該什么都恢復不了了,感到絕望。
回想一下應該是frp暴露了3389端口,被人RDP爆破黑了進來,純數(shù)字開機密碼,唉,大意了。至于家里的電腦應該是通過我單位電腦上的遠程桌面的訪問紀錄連上的,我還保存了密碼。胃痛。
單位電腦上的文件,有個去年9月份的全盤備份,就是最近幾個月的東西不太好辦了,只能找找微信記錄、郵件記錄什么的了,最難受的就是前兩周剛做的PPT和寫的報告沒了,還沒給其他人發(fā)過,一點記錄都沒有?,F(xiàn)在單位的電腦還斷著網(wǎng)開著機呆著,目前計劃是把被感染的兩塊硬盤直接取下來封存,等有辦法解密lockbit的時候再拿出來試試了,從家里帶了個筆記本來辦公,后面帶兩塊硬盤替換被感染的那兩塊重裝系統(tǒng)吧。
最后想問一下大佬,現(xiàn)在有沒有一絲希望能夠解密文件,這兩天搜到一個新聞說日本警方似乎突破了lockbit3.0。另外想問問,淘寶上的數(shù)據(jù)恢復商家可靠嗎?
客戶說了這么多,其實真的是沒啥可救的了,就算去淘寶去找,解密也不是百分百的解密完成,都會有一些后遺癥,如果真的十分重要,就去整,然后也做好被騙的心理值,還有就是這東西基本是無解,說沒有希望是假,咋也得有1%;遇到這樣的事情,就自認倒霉和節(jié)哀吧;
寫在最后:希望大家能吸取教訓
1、不要再網(wǎng)上亂下載一些所謂免費破解的東西,都是幌子,大家都是成年人,哪里有辣么多的雷鋒,作者不用吃飯喝酒么;
2、多備份,備份次數(shù)太少,頻率太低!
3、RDP默認3389端口沒改大忌,一定要改;
4、開機密碼純數(shù)字強度太低---大忌
5、沒有設置密碼嘗試次數(shù)限制--大忌(撞庫就是這么嘗試)
問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!