V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wz74666291
V2EX  ›  程序员

勒索病毒太恐怖了

  •  
  •   wz74666291 · 2018-10-27 16:47:09 +08:00 · 17852 次点击
    这是一个创建于 2221 天前的主题,其中的信息可能已经有所发展或是发生改变。

    所谓“溺者常善于水”,作为一个程序员,电脑不喜欢安装 360,但是最近却被勒索软件侵入了,电脑所有资料都被加密了。 具体过程如下:实验室电脑系统是 win10

    1. 10 月 24 晚上 10 点半左右,正在用远程桌面访问该电脑,发现电脑很卡,打开任务管理器,发现有一个名为 1.exe 的进程,结束进程之后没有发现异常,继续使用。只是发现 PyCharm 无法打开了,于是重新安装了 PyCharm.
    2. 10 月 25 日上午发现电脑除 C 盘以外所有文件都被加密了,后缀变成 doubleOffset,留下 readme 文件,内容是一个 QQ 邮箱和一个俄罗斯邮箱,[email protected] or [email protected]
    3. 在线搜索该病毒,没有发现有用信息
    4. 通过邮箱与与对方联系后,对方表示需要支付 1000 美金的比特币可以解密。

    Payment instructions: 1. Go to https://localbitcoins.com/ 2. Register (sign up) 3. You need to buy Bitcoins from people. (You can pay with any >method, which is convenient to you) 4. Send purchased Bitcoins to our address listed below. If you have any questions, you can contact support this service, or email us. Our Bitcoin wallet 1JCqgo5ZAhhhHfcEoPPpUqdCYfPZXeA3Sr

    文件名称现在都成了这样,提示各位老哥,如果使用 windows 的话,还是采取一点安全措施,同时,文件要及时备份,不然后悔莫及呀

    第 1 条附言  ·  2018-10-28 08:30:46 +08:00
    这是一个新的病毒,不是去年的永恒之蓝,电脑的 windows 补丁打了,windows defender 打开,重要文件都有备份,我写这个的目的是提醒各位,防止被入侵,目前认为可能出现纰漏的环节就是使用了 frp 进行远程桌面访问。
    114 条回复    2019-06-23 11:08:32 +08:00
    1  2  
    sfqtsh
        1
    sfqtsh  
       2018-10-27 16:49:16 +08:00 via Android
    微软发的补丁没打?
    tyrealgray
        2
    tyrealgray  
       2018-10-27 16:51:05 +08:00 via Android   ❤️ 11
    又不是只有 360 才防得住勒索病毒
    HuHui
        3
    HuHui  
       2018-10-27 16:53:11 +08:00
    程序员康复指南
    daigouspy
        4
    daigouspy  
       2018-10-27 16:53:48 +08:00 via Android   ❤️ 23
    @sfqtsh 当然不打,关闭自动更新是政治正确。
    lrh3321
        5
    lrh3321  
       2018-10-27 16:55:01 +08:00 via Android
    没更新系统的?
    SuperMild
        6
    SuperMild  
       2018-10-27 16:55:42 +08:00
    自从知道有勒索病毒后,我就订阅了收费的防毒软件,使用感觉良好。
    wz74666291
        7
    wz74666291  
    OP
       2018-10-27 16:56:54 +08:00
    @sfqtsh 现在打上了,本来是一直关闭更新的,哎
    wz74666291
        8
    wz74666291  
    OP
       2018-10-27 16:57:08 +08:00
    @HuHui 治疗颈椎病必备
    kikyous
        9
    kikyous  
       2018-10-27 17:01:14 +08:00 via Android
    日常使用 ubuntu 很棒
    Ansen
        10
    Ansen  
       2018-10-27 17:08:46 +08:00
    去年事情闹那么大,你居然还不更新一下
    Moorj
        11
    Moorj  
       2018-10-27 17:23:53 +08:00 via iPhone
    没备份?
    Cu635
        12
    Cu635  
       2018-10-27 17:29:53 +08:00   ❤️ 27
    关闭自动更新可以,去年闹得这么沸沸扬扬的连传统行业最普通的人都知道了,微软都给已经停止维护的 XP 出补丁了,作为程序员却都不去自己不更新一下系统,这只能说明 lz 安全意识太差了,而且 lz 所在的公司 /单位估计也一丁点没有安全意识。
    更何况,难道 lz 就不知道其它的安全软件了?就只知道一个流氓 360 ?更何况 360 根本防不住勒索病毒。eset、小红伞还有 avast 这些不都是合格的杀毒软件么?
    所以 lz 根本不是“溺者常善于水”,而就是 lz 并不善于水却还要非得下水。

    @daigouspy
    离题万里,关闭自动更新和看到别人出事了之后再打补丁是不矛盾的。
    peterpei
        13
    peterpei  
       2018-10-27 17:32:25 +08:00 via Android
    火绒也行啊。。。
    ccc008
        14
    ccc008  
       2018-10-27 17:32:27 +08:00   ❤️ 4
    楼主你这真不叫善于水,叫半桶水 哈哈哈(开个玩笑别介意)
    onlin
        15
    onlin  
       2018-10-27 17:32:50 +08:00 via Android
    常在河边走哪有不湿邪的道理
    strive
        16
    strive  
       2018-10-27 17:35:02 +08:00
    昨晚我们公司也是被勒索病毒给入侵了,好多 win 的机器都被感染了.......
    1024MB
        17
    1024MB  
       2018-10-27 17:36:28 +08:00 via Android   ❤️ 4
    反正我是宁愿中毒,也不愿意装 360
    wohenyingyu02
        18
    wohenyingyu02  
       2018-10-27 17:38:11 +08:00 via iPhone
    要是中毒和蓝屏二选一,我选中毒
    cfq1491
        19
    cfq1491  
       2018-10-27 17:40:20 +08:00   ❤️ 1
    楼主这是典型的一瓶子不满半瓶子咣当,免费的 BD,卡巴斯基,小红伞,360 国际版,还有变相免费的赛门铁克 NPE,ESET,趋势还不够你玩的?
    Ya
        20
    Ya  
       2018-10-27 17:41:18 +08:00   ❤️ 1
    win10 自带杀毒软件 不更新的吗?
    aloyuu
        21
    aloyuu  
       2018-10-27 17:42:29 +08:00   ❤️ 2
    远离 金山 360
    Tink
        22
    Tink  
       2018-10-27 17:42:33 +08:00 via iPhone
    @tyrealgray #2 390 也放不住
    t6attack
        23
    t6attack  
       2018-10-27 17:44:18 +08:00   ❤️ 1
    这跟 360 没关系。作为程序员,你应该把 ms17-010 补丁打了。
    话说,LZ 手里还有其他主机没? bash 漏洞、ssl 心脏出血漏洞,这些补丁是不是也没打?
    xxgirl2
        24
    xxgirl2  
       2018-10-27 17:50:27 +08:00
    如果确实不应该打补丁,我会包一层路由器再借助 linux 机器(树莓派之类的)用内网穿透来访问。
    当然我自用的机器都是默认这世界上不存在国产软件的。
    des
        25
    des  
       2018-10-27 17:50:40 +08:00 via Android
    碰到这种东西先创建 dump 文件再杀掉,文件可能还有机会救回来,2333

    最重要的还是要多备份
    突然想起来我也好久没更新了
    likuku
        26
    likuku  
       2018-10-27 17:53:05 +08:00
    有效多副本自动备份,异地备份,离线备份,跨洋备份。
    HFX3389
        27
    HFX3389  
       2018-10-27 17:53:51 +08:00
    所以你是什么杀软都不装吗?
    Windows Defender 开了吗?
    msg7086
        28
    msg7086  
       2018-10-27 18:02:17 +08:00   ❤️ 2
    @daigouspy 关闭自动更新和不打补丁有啥关系。还有「手动」更新呢。
    又不是断手断脚,为啥都要让巨硬管着呢。

    (更烦的是自动更新自己也可能会造成数据丢失呢
    mon6912640
        29
    mon6912640  
       2018-10-27 18:07:33 +08:00 via Android   ❤️ 1
    你哪里善于水?搞安全的吗?不是的话就别说善于水了。。。
    mmdsun
        30
    mmdsun  
       2018-10-27 18:08:11 +08:00 via Android   ❤️ 1
    Windows 不是自带 Windows Defender 和安全中心么。Windows Defender 里面有个选项是防勒索病毒的叫文件保护区的功能。
    redapple02041
        31
    redapple02041  
       2018-10-27 18:09:08 +08:00   ❤️ 1
    win10 如果装了 1709 以上的版本都应该含有这个补丁了吧。。楼主的 win10 到底是多古董。。
    而且不装 360 也不打开 windowsdefender。。真的是
    mmdsun
        32
    mmdsun  
       2018-10-27 18:13:19 +08:00 via Android
    不要给钱,给钱也不会解密的。去淘宝花钱解密吧
    whwq2012
        33
    whwq2012  
       2018-10-27 18:22:14 +08:00 via Android
    可怜,还好我怂。。。
    likuku
        34
    likuku  
       2018-10-27 18:29:47 +08:00   ❤️ 1
    @mmdsun [淘宝花钱解密] 管用么?确认不是二次诈骗?
    opengps
        35
    opengps  
       2018-10-27 18:31:16 +08:00
    建议抓紧监测下内网其他机器。据说这类病毒是靠 windows 的漏洞端口内网扩散
    kernel
        36
    kernel  
       2018-10-27 18:38:38 +08:00
    即不喜欢装 360 又不上自动更新+自带杀毒又暴露在外网,这不公开裸奔了吗
    mmdsun
        37
    mmdsun  
       2018-10-27 18:44:32 +08:00 via Android
    @likuku 淘宝卖家没这胆子。
    656002674
        38
    656002674  
       2018-10-27 18:47:15 +08:00
    不装安全软件,不开自动更新,也不定期的手动打打补丁。全裸不死都不合理
    likuku
        39
    likuku  
       2018-10-27 18:56:34 +08:00   ❤️ 1
    @mmdsun 若不是“淘宝解密卖家”自己散布“加密勒索病毒”,他怎可能拿到散布者才有的解密密钥?好奇
    May725
        40
    May725  
       2018-10-27 18:57:03 +08:00   ❤️ 1
    杀毒软件 != 360
    szzhiyang
        41
    szzhiyang  
       2018-10-27 18:57:41 +08:00
    @wz74666291 你还记得那病毒是怎么跑到你的电脑上去的吗?你中毒前有没有下载运行什么不明程序?
    waruqi
        42
    waruqi  
       2018-10-27 19:08:51 +08:00 via Android
    无所谓 电脑上没啥重要的东西 代码也是 git 同步备份的 。大不了重装下
    fy
        43
    fy  
       2018-10-27 19:31:21 +08:00   ❤️ 1
    所以实际上是上古 Win10 大战陈年勒索病毒?
    vtychx
        44
    vtychx  
       2018-10-27 19:47:06 +08:00
    爆发病毒的那几天,公司全部强制断网,直到装了补丁。
    uptime
        45
    uptime  
       2018-10-27 19:55:56 +08:00
    @Cu635 你是没理解#4 说的「关闭更新是政治正确」的语言环境
    wolfie
        46
    wolfie  
       2018-10-27 20:00:10 +08:00
    这病毒感觉好久前的啊...

    win7 连接公司 wifi 中过一次,电脑太卡看任务管理器多个没见过进程,顺手杀了。
    mmdsun
        47
    mmdsun  
       2018-10-27 20:23:06 +08:00 via Android
    @likuku 360 也有收费的解锁加密文件服务呀。难不成都是他们放出来的勒索毒。。
    Admstor
        48
    Admstor  
       2018-10-27 20:27:36 +08:00   ❤️ 1
    一般人说不打补丁怕影响速度,我认为他们无知无畏也就算了
    作为程序员不打补丁是几个意思...
    felixlong
        49
    felixlong  
       2018-10-27 20:57:41 +08:00   ❤️ 1
    到网上找找这个病毒的主密钥。上次的那个叫 TeslaCrypt 好像主密钥被公布了。或者你可以发邮件给 hacker 哭惨。说不定会给你。
    moln
        50
    moln  
       2018-10-27 21:06:51 +08:00
    @cfq1491 求 eset 变相免费方法
    flynaj
        51
    flynaj  
       2018-10-27 21:07:52 +08:00 via Android   ❤️ 1
    让你不打补丁,让你关闭自带杀毒软件,楼主这种菜🐔也敢跳。
    cjpjxjx
        52
    cjpjxjx  
       2018-10-27 21:28:09 +08:00 via iPhone
    补丁也不打,安全软件也不装,不就相当于把自家大门打开结果进小偷了
    tanpengsccd
        53
    tanpengsccd  
       2018-10-27 21:32:21 +08:00 via iPhone
    不知道为什么看不起 360。360 真的不错👍。除了广告。
    wz74666291
        54
    wz74666291  
    OP
       2018-10-27 21:46:06 +08:00
    @szzhiyang 用了几天 frp 的反向代理
    cfq1491
        55
    cfq1491  
       2018-10-27 21:46:14 +08:00
    @moln 去精睿论坛 bbs.vc52.cn ,里面有 ID 获取器,我记着上海海事大学的 ESET 是外网可以免费用的。

    链接: https://pan.baidu.com/s/1kWSUOmRGRgJpHQuMzwuEAw 提取码: sqcc
    wz74666291
        56
    wz74666291  
    OP
       2018-10-27 21:46:38 +08:00
    @flynaj 没有关闭 windows defender
    wz74666291
        57
    wz74666291  
    OP
       2018-10-27 21:47:41 +08:00
    @Cu635 楼主在高校,的确不够有安全意识,个人问题,但是 windows defender 是开着的,不过还是没有防住
    fhbyljj
        58
    fhbyljj  
       2018-10-27 21:56:25 +08:00 via Android
    360 关闭自动更新补丁,留下治流氓功能
    yujincheng08
        59
    yujincheng08  
       2018-10-27 21:57:33 +08:00
    @wz74666291 你不更新谁防得住?
    woodrat
        60
    woodrat  
       2018-10-27 22:37:23 +08:00
    一般的勒索病毒都是用去年的 ms-17010 漏洞即“永恒之蓝”入侵系统的。如果关闭了自动更新可以按照下面的步骤处理一下,以免中招。

    1、如过不使用 smb,关闭不必要的端口,例如 139、445 端口等。

    2. 手动安装“永恒之蓝”漏洞补丁请访问以下页面
    页面
    https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
    其中 WinXP,Windows Server 2003 用户请访问
    访问
    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
    liaoyaoheng
        61
    liaoyaoheng  
       2018-10-27 22:40:34 +08:00
    windows defender 病毒库当时有没有更新?@wz74666291
    Cu635
        62
    Cu635  
       2018-10-27 22:45:47 +08:00
    @uptime
    我太理解了,所以我才评价说#4 是“离题万里”而不是说#4 “说的不对”。
    另外#4 原话是“关闭 自动 更新是政治正确。”,而您说的是:“@Cu635 你是没理解#4 说的「关闭 更新 是政治正确」的语言环境”。
    “自动”二字之差,意思相差可就万里了。

    @wz74666291
    这是完全没有安全意识而不是“不够有安全意识”……
    另外,去年那么大的动静,重灾区就是学校、医院这类单位,医院情况我不太清楚,学校可是都已经上升到 zf 应急处理层面去了,lz 你连学校都没有进行普及教育么……
    这种病毒具有很强的传染性,你一个人中毒,可是给全校都带来危险的。
    xiaopenyou
        63
    xiaopenyou  
       2018-10-27 22:52:52 +08:00
    @woodrat #60 谢谢,但第一个链接不对
    Maxbee
        64
    Maxbee  
       2018-10-27 22:57:15 +08:00
    想知道最后给钱了嘛
    claysec
        65
    claysec  
       2018-10-27 22:58:38 +08:00
    445 啊。。
    sheldor
        66
    sheldor  
       2018-10-27 23:03:39 +08:00
    @cfq1491 ESET 如何做到变相免费?
    skylancer
        67
    skylancer  
       2018-10-27 23:08:22 +08:00
    没有安全常识这种问题不谈,Windows Defender 都要禁用就真的无话可说
    ihciah
        68
    ihciah  
       2018-10-27 23:09:45 +08:00
    win10 似乎因为 CFG 不受那个 445 永恒之蓝影响?或者说受影响但是不好利用。
    WilliamLin
        69
    WilliamLin  
       2018-10-27 23:35:17 +08:00
    没有安全意识的下场,代码还不备份。
    gzxu
        70
    gzxu  
       2018-10-27 23:36:01 +08:00
    @wz74666291 哥们您哪个交大的😂😂😂别害了我们周围的同学啊兄弟
    liuguang
        71
    liuguang  
       2018-10-27 23:41:38 +08:00
    火绒还是不错的
    heiyutian
        72
    heiyutian  
       2018-10-28 00:01:09 +08:00
    @woodrat win7 用哪个
    @xiaopenyou
    ryd994
        73
    ryd994  
       2018-10-28 01:31:32 +08:00 via Android   ❤️ 1
    买 NAS,上 Windows backup,每 5 分钟上传一次,留档一周
    要保证安全的话,服务器上开快照。客户端看不到也删不掉这些快照
    zhzer
        74
    zhzer  
       2018-10-28 02:05:57 +08:00 via Android
    这放毒的自己可能都没想到居然还能钓到鱼
    huanxianghao
        75
    huanxianghao  
       2018-10-28 07:03:59 +08:00   ❤️ 3
    程序员还会想到装 360 的?或许这就是你中毒的原因了
    ShareDuck
        76
    ShareDuck  
       2018-10-28 07:26:06 +08:00 via Android
    匪夷所思,我还以为只有小白会不打系统补丁。
    wz74666291
        77
    wz74666291  
    OP
       2018-10-28 08:26:44 +08:00
    @WilliamLin 备份了,都在 onedrive 上
    wz74666291
        78
    wz74666291  
    OP
       2018-10-28 08:31:42 +08:00
    @wz74666291 关闭更新之前,已经打了 445 的补丁
    wz74666291
        79
    wz74666291  
    OP
       2018-10-28 08:36:51 +08:00
    @ryd994 谢谢,这个很有用
    xxl11231220
        80
    xxl11231220  
       2018-10-28 08:53:16 +08:00 via Android
    即使有几率中毒,我也一样选择裸奔,而且不打系统补丁。
    首先杀软多多少少拖慢系统性能,一用杀软就失去跟手的流畅感,我不能忍。
    其次打补丁给系统带来各种不稳定风险,蓝屏、莫名其妙的问题,不喜欢折腾,稳定至上。
    最后一直有重要文件云备份的习惯,勒索病毒?来来来,随便给你加密
    babedoll
        81
    babedoll  
       2018-10-28 09:21:47 +08:00   ❤️ 1
    搞不懂 那么多文件怎么备份的过来?还宁愿被病毒锁文件也要裸奔,zz。
    简单的事弄得这么复杂,好好用杀毒软件不就行了。
    abcbuzhiming
        82
    abcbuzhiming  
       2018-10-28 09:59:06 +08:00
    @wz74666291 胆子真大,现在还有人不开自动更新用 windows 操作系统的?
    abcbuzhiming
        83
    abcbuzhiming  
       2018-10-28 10:01:24 +08:00
    @wz74666291 windows defender 不过是微软自带的简易杀毒软件,你再没开自动更新的情况下,照样是筛子
    RealGM
        84
    RealGM  
       2018-10-28 10:04:13 +08:00
    记得当时微软说 win10 比较安全 不会中勒索病毒 还建议 WIN7 和 XP 用户尽快升级 WIN10
    sublimevsatom
        85
    sublimevsatom  
       2018-10-28 10:15:21 +08:00 via iPhone   ❤️ 2
    https://m.youtube.com/watch?v=oNqcWQ3WL20
    找到一个视频,看看你中的是不是这个
    Autonomous
        86
    Autonomous  
       2018-10-28 10:39:13 +08:00
    买卡巴斯基吧,三年也才 118 人民币,比你的 1000 美元赎金不知道有多优惠。
    cha222554
        87
    cha222554  
       2018-10-28 10:40:56 +08:00   ❤️ 1
    最新 win10 不会这样子。
    肯定是没打补丁或开启了 445 端口。(一般公网不会开启 445 端口 有可能是被内网攻击了喔)
    Orciorc
        88
    Orciorc  
       2018-10-28 11:18:25 +08:00 via Android
    留了 QQ 邮箱?报警试试,以公司名义应该能受理吧。抓到作者以后说不定会交出主密钥。
    xenme
        89
    xenme  
       2018-10-28 11:53:11 +08:00 via iPhone
    虚拟机一直没开更新。

    那些说开更新的,你确定你 meltdown 和 spectre 相关的固件以及微码补丁都打了?
    ddzzhen
        90
    ddzzhen  
       2018-10-28 12:10:12 +08:00 via Android
    卡巴斯基安心
    konakona
        91
    konakona  
       2018-10-28 12:29:24 +08:00
    好歹装个火绒啊……我也不用 360,我是火绒走一生。
    hx1997
        92
    hx1997  
       2018-10-28 12:31:00 +08:00   ❤️ 1
    楼主留意下 84L 的视频,这应该是 Cryakl Ransomware
    https://www.bleepingcomputer.com/forums/t/632234/cryakl-ransomware-help-support-topic/page-6
    wz74666291
        93
    wz74666291  
    OP
       2018-10-28 12:41:23 +08:00 via iPhone
    @sublimevsatom 感谢,正在尝试中
    wz74666291
        94
    wz74666291  
    OP
       2018-10-28 12:42:02 +08:00 via iPhone
    @hx1997 感谢
    luc4s
        95
    luc4s  
       2018-10-28 14:15:08 +08:00
    看了下 Cryakl 的传播方式,还真有很大可能是因为 frp 把远程桌面映射到公网导致被入侵的...
    https://sensorstechforum.com/doubleoffset-files-virus-remove-restore-files/
    mangoDB
        96
    mangoDB  
       2018-10-28 14:26:10 +08:00
    微博上劝人关闭**自动更新**是政治正确。
    niceworld
        97
    niceworld  
       2018-10-28 14:53:32 +08:00
    吃一堑长一智,关闭更新这种事以后就不要再做了
    dalieba
        98
    dalieba  
       2018-10-28 18:04:32 +08:00 via Android
    楼主可以把这个网页收藏下来,然后定期关注一下。
    https://www.sysgeek.cn/windows-10-hotfix/
    waterlaw
        99
    waterlaw  
       2018-10-28 19:54:15 +08:00
    10 月 23 号的更新使我电脑蓝屏了, 想关闭更新, 看到楼主这贴我又犹豫了。
    xmoiduts
        100
    xmoiduts  
       2018-10-28 20:02:18 +08:00 via Android
    看到了 frp 带来的潜在风险,请问 zerotier 设备会被轻易扫到吗
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5640 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 08:50 · PVG 16:50 · LAX 00:50 · JFK 03:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.