V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
kensin
V2EX  ›  问与答

[急] 求助关于勒索病毒的问题

  •  
  •   kensin · 2021-05-20 21:20:49 +08:00 · 1524 次点击
    这是一个创建于 1288 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事件描述: 4.16 日发现服务器中了勒索病毒。自己从服务器拷贝下来加密后的文件样本,找到专业网站上传进行鉴别。发现是目前不可解密的勒索病毒。

    今天在自己电脑找文件的时候发现个别文件(不同目录下的 5 个文件)变成了上次那种加密文件。而且和上次从服务器拷贝出来的样本后缀是一样的。

    刚刚用 360 查杀了一遍,没有发现问题。

    现在有点害怕,自己电脑的其他文件会不会也被即将加密?

    图 1 是回收站自己出现的文件。图 2 是电脑中被加密的文件。

    image

    image

    提前感谢各位!

    6 条回复    2021-05-22 09:32:20 +08:00
    matrix67
        1
    matrix67  
       2021-05-20 21:44:31 +08:00
    你这个服务器是 linux 服务器还是 windows 服务器。linux 的可执行文件拿到 win 上理论上讲运行不了(当然运河不知道现在有没有二进制混合技术能够同时在两种系统上运行的)。

    windows 服务器的话,只能说楼主心真大。。赶紧先进 pe 系统备份数据。。
    jokerstep
        2
    jokerstep  
       2021-05-21 10:14:50 +08:00
    勒索病毒完成加密后有自删除功能,建议排查一下注册表里自启动项,单位应该都买了硬件安全设备,IPS 之类的,可以看看日志通过什么渠道传播的,如果数据没有备份的话,尽快备份数据,然后先 down 掉 445 端口,修改 RD 端口,修改密码,最后再考虑查杀或者格盘的问题
    proxytoworld
        3
    proxytoworld  
       2021-05-21 13:13:38 +08:00
    为什么不放虚机检测。。
    timi
        4
    timi  
       2021-05-21 14:04:11 +08:00
    拷贝出来的文件样本一般不会有传播性,本机的可能只是巧合,可以先备份重要数据,装个 everything 全盘搜一下类似的文件有多少,多找几个杀毒软件杀一下
    Chenamy2017
        5
    Chenamy2017  
       2021-05-21 21:56:20 +08:00
    先备份吧
    kensin
        6
    kensin  
    OP
       2021-05-22 09:32:20 +08:00
    @matrix67 @jokerstep @proxytoworld @timi @Chenamy2017
    感谢各位大佬!
    目前用 360 强力查杀模式没有发现勒索病毒。
    经过回想,当天远程登录 windows 服务器的时候默认挂载了 E 盘,估计是这个原因导致 E 盘部分文件被加密。

    感谢大家!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2850 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 18ms · UTC 12:47 · PVG 20:47 · LAX 04:47 · JFK 07:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.