PCEVA,PC绝对领域,探寻真正的电脑知识
开启左侧

麻烦大家帮看看,这个是凉了还是能抢救一下

[复制链接]
cowboy82524 发表于 2018-7-12 20:11 | 显示全部楼层 |阅读模式
点击数:10869|回复数:27
本帖最后由 cowboy82524 于 2018-7-12 20:13 编辑

正常使用中的电脑挂机下载东西,第二天起来就中了勒索病毒了,主要是许多年里自己下载的视频和软件什么的,最重要的就是N年里家庭的各种照片和视频了,这个是一首凉凉送给自己,还是坚持“我还能抢救一下”。
QQ截图20180712194302.png
右下角那个文本用百度翻译了下
QQ截图20180712194332.png
QQ截图20180712194432.png

这个是勒索文本:
Danger: our contacts change every 3 days, do not hesitate, contact us immediately. Then we will not be available.

Attention: if you do not have money then you do not need to write to us!

The file is encrypted with the RSA-2048 algorithm, only we can decrypt the file.

====================================================================================================
                                        Jabber: [url=mailto:\[email\]fastsupport@xmpp\.jp\[\/email\]]\[email\]fastsupport@xmpp\.jp\[\/email\][/url]
                If you do not have a jabber. To write to us to register: https://www.xmpp.jp
====================================================================================================
Your files are encrypted!
Your personal identifier:
6A02000000000000F7D22DF21D91C101C330080357C22040ECBF582F7D25C6064ED20B9D9F74F36626D6EFB9D5CEECD0F329
FD2E56799DA5AB92DE57AFBEB98EA94815C79532F8DCF5E45BABF9B9F4CC76EDAA723234BD9719D67A23239762A62EDB71F4
65D6546F4CDCEB698DAF77CEE6F986AACADBF12A665E4B546280F53DEE790C7D831154B3EAE5196EC763259FE1F4366B73EA
F68DF74360AB9B17B07BD2F55CB1D7E517F0BF15B32EB29BDBECCD1EE45CDDF8F363C5D0E5898D928CADB9307305604709AE
3768FB58C5E6454B97183418CABA7B2986EB580C151796E66A46F2A34133C4507F344693C9D1D8B15F107008A78348B0EC3D
06F733F64F1249659227E7A80B482714FD6064E7122449DCA3482EE45DA70723C9DC25FA2C54D0B065E3B9D7414AE403A06F
1B7B955814DB8D3F080ED6C741B29440254E9AD158593F
====================================================================================================
To decrypt files, please contact us by jabber:
[url=mailto:\[email\]fastsupport@xmpp\.jp\[\/email\]]\[email\]fastsupport@xmpp\.jp\[\/email\][/url]
====================================================================================================

The file is encrypted with the RSA-2048 algorithm, only we can decrypt the file.

Attention: if you do not have money then you do not need to write to us!

Danger: our contacts change every 3 days, do not hesitate, contact us immediately. Then we will not be available.

红色狂想 发表于 2018-7-12 22:28 | 显示全部楼层
前几天在隔壁还看到两个中的,怎么,撸主难道也是机房专线独立ip部署好windows server系统后不打补丁保持更新直接上线?据说X宝上有一条黑色产业链,花2万毛爷爷就能帮你搞定
[网络] 服务器中勒索病毒,求支招
有了解BIP勒索病毒的吗?
暴疯狂笑 发表于 2018-7-12 22:56 | 显示全部楼层
突显独立文件服务器的重要性。。。
羽落风尘 发表于 2018-7-12 22:59 | 显示全部楼层
这是怎样感染的
cowboy82524  楼主| 发表于 2018-7-12 23:00 | 显示全部楼层
红色狂想 发表于 2018-7-12 22:28
前几天在隔壁还看到两个中的,怎么,撸主难道也是机房专线独立ip部署好windows server系统后不打补丁保持更 ...

就是用一台退役的电脑主机挂了几个硬盘当家庭简易nas用着,我的补丁都是用的卫士直接打的,中标当天早上我用手机远程桌面连接,看到桌面就是这个样子了,但是我还开着迅雷,而且迅雷还能正常下载文件,然后但是是弹出了几个标题是C++的警告信息,关闭几个警告信息后发觉右下角卫士什么都直接退出了,当时也没有引起什么重视,我就直接按win键点选了注销,结果电脑直接关机了,等我重新开机,看到桌面那个文本文件的时候百度了下才反应过来中招了,现在就是不知道是直接凉凉全盘格式化,还是等段时间看看能不能抢救一下。
cowboy82524  楼主| 发表于 2018-7-12 23:05 | 显示全部楼层

我也不知道啊,补丁什么的也是打了的(用的卫士打的补丁,所有可选补丁没打),前一天是正常使用着的,当天晚上是开通宵挂迅雷,第二天早上手机远程桌面连接的准备关机的时候发现就成那样了。
cowboy82524  楼主| 发表于 2018-7-12 23:18 | 显示全部楼层
我用的win7系统,然后打补丁就是用的卫士打的,各种可选补丁都没有打,用了SMB共享,然后为了手机远程桌面登录关机我还在路由器里直接端口转发3389端口到我的中毒机,看了看隔壁分析的一些原因好像我全中

QQ截图20180712231453.png
红色狂想 发表于 2018-7-12 23:55 | 显示全部楼层
cowboy82524 发表于 2018-7-12 23:00
就是用一台退役的电脑主机挂了几个硬盘当家庭简易nas用着,我的补丁都是用的卫士直接打的,中标当天早上 ...

为毛要装250数字科技这些流氓软件,直接windows update不行吗?这样同样可以选择只安装重要更新啊
你开了SMB,还做了端口映射到外网搞远程桌面,这样增加了不少安全风险,貌似是被黑客入侵后植入病毒的。就算大文件只被修改了头部可以拯救回来心里也不爽啊,各种强迫症,如果没有私人重要数据,不如直接洗盘了事儿。
看来以后不能将7×24h下载机和NAS部署在一起了,应该搞一台专用下载机,文件服务器只接入局域网,除了系统更新不与外网有任何联系
bill1818 发表于 2018-7-12 23:55 | 显示全部楼层
好像挺可怕的,果然还是要物理隔绝
来自安卓客户端来自安卓客户端
xudaiqing 发表于 2018-7-13 06:26 | 显示全部楼层
向公网开放3389就是自己作死了。windows远程桌面没有暴力破解防护,破起来不要太容易
来自安卓客户端来自安卓客户端
DoctorX99 发表于 2018-7-13 08:48 | 显示全部楼层
去卡饭问一下吧,关注后续发展
来自安卓客户端来自安卓客户端
wanfeng304 发表于 2018-7-13 10:07 | 显示全部楼层
心疼lz,我自己的硬盘挂了,宝宝的照片和文件都没有了。勒索病毒要几个比特币?
来自苹果客户端来自苹果客户端
XXHJACK 发表于 2018-7-13 10:56 | 显示全部楼层
3389你不转换一下直接上真是心大。我想服务器也没装杀毒软件吧。。。。。。。。。。看你舍不舍得花那个钱恢复了,其实花了也不见得能恢复。
红色狂想 发表于 2018-7-13 17:01 | 显示全部楼层
xudaiqing 发表于 2018-7-13 06:26
向公网开放3389就是自己作死了。windows远程桌面没有暴力破解防护,破起来不要太容易
...

话说微软给系统搞个Remote Desktop功能是让在内网里用的吗?
vipspy 发表于 2018-7-13 17:19 | 显示全部楼层
本帖最后由 vipspy 于 2018-7-13 17:20 编辑

我有个逆思维,不知道行不行。
先删除某几张图片,然后用硬盘文件恢复软件,把文件恢复(不知道会不会原有图片)。
http://www.cjhf.net/download.htm
试试这个硬盘恢复软件,不用注册,试用版可以预览(可预览可恢复的图片,试用版不能批量恢复)
当初重装系统,不小心把系统装在移动硬盘上了,找了很久恢复软件,最后找到这个软件,看到可预览后,马上注册(好像是90多块钱),移动硬盘上的资料基本全部找回来了。
xudaiqing 发表于 2018-7-13 19:01 | 显示全部楼层
红色狂想 发表于 2018-7-13 17:01
话说微软给系统搞个Remote Desktop功能是让在内网里用的吗?

remote desktop 是 xp 时代的遗物,虽然微软一直在给它打补丁但是有些最初设计的坑也不是那么容易填。而且从桌面虚拟化上就可以看出来,微软巴不得这种能让linux瘦客户机取代windows的技术马上死掉。
来自安卓客户端来自安卓客户端
cowboy82524  楼主| 发表于 2018-7-13 20:23 | 显示全部楼层
XXHJACK 发表于 2018-7-13 10:56
3389你不转换一下直接上真是心大。我想服务器也没装杀毒软件吧。。。。。。。。。。看你舍不舍得花那个钱恢 ...

当时只是想手机远程关机,自己对什么端口什么的都是不懂,在网上随便逛的时候看到别人说路由映射3389端口可以达到我要的效果就直接上马了,完全没有考虑安全问题;金山毒霸算杀软吧,中毒机用的金山全家桶,当然快速扫描的时候是忽略了共享风险提示的,中招那天早上是直接毒霸和卫士直接已经退出了,当时开着迅雷,迅雷正在下载文件(看到有速度),弹出了几个C++标题的框框,我点选确定后直接按win键注销系统,然后系统是自己直接关机了,我也完全没有当回事就去上班了,下午下班回家开机看到那个勒索文本文件才知道中招了。
中毒机里面就是仓库盘集中,主要是下载的电影、美剧、小姐姐、软件安装包、游戏安装包什么的,最重要的就是N年里的家庭照片和视频,不过大部分都在云端有备份,所以花钱恢复是不可能的,最近只是过得比较佛(lan)系(duo),现在就是考虑是不是全盘格,还是凉它几个月,到时看看有没有专杀工具什么的......
cowboy82524  楼主| 发表于 2018-7-13 20:35 | 显示全部楼层
vipspy 发表于 2018-7-13 17:19
我有个逆思维,不知道行不行。
先删除某几张图片,然后用硬盘文件恢复软件,把文件恢复(不知道会不会原有 ...


谢谢回复,中毒机没有太多重要东西(重要的就是家庭照片和视频,大部分有云端备份),所以现在就是考虑是全盘格还是凉几个月等专杀工具。
cowboy82524  楼主| 发表于 2018-7-13 21:04 | 显示全部楼层
wanfeng304 发表于 2018-7-13 10:07
心疼lz,我自己的硬盘挂了,宝宝的照片和文件都没有了。勒索病毒要几个比特币?
...

有些时候照片什么的用用云端还是蛮不错的。
XXHJACK 发表于 2018-7-13 21:24 | 显示全部楼层
cowboy82524 发表于 2018-7-13 20:23
当时只是想手机远程关机,自己对什么端口什么的都是不懂,在网上随便逛的时候看到别人说路由映射3389端口 ...

直接全格!直接映射3389还不如开机一直tm!金山毒霸也叫杀软。。。。。。。。。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部