事件描述: 4.16 日发现服务器中了勒索病毒。自己从服务器拷贝下来加密后的文件样本,找到专业网站上传进行鉴别。发现是目前不可解密的勒索病毒。
今天在自己电脑找文件的时候发现个别文件(不同目录下的 5 个文件)变成了上次那种加密文件。而且和上次从服务器拷贝出来的样本后缀是一样的。
刚刚用 360 查杀了一遍,没有发现问题。
现在有点害怕,自己电脑的其他文件会不会也被即将加密?
图 1 是回收站自己出现的文件。图 2 是电脑中被加密的文件。
提前感谢各位!
1
matrix67 2021-05-20 21:44:31 +08:00
你这个服务器是 linux 服务器还是 windows 服务器。linux 的可执行文件拿到 win 上理论上讲运行不了(当然运河不知道现在有没有二进制混合技术能够同时在两种系统上运行的)。
windows 服务器的话,只能说楼主心真大。。赶紧先进 pe 系统备份数据。。 |
2
jokerstep 2021-05-21 10:14:50 +08:00
勒索病毒完成加密后有自删除功能,建议排查一下注册表里自启动项,单位应该都买了硬件安全设备,IPS 之类的,可以看看日志通过什么渠道传播的,如果数据没有备份的话,尽快备份数据,然后先 down 掉 445 端口,修改 RD 端口,修改密码,最后再考虑查杀或者格盘的问题
|
3
proxytoworld 2021-05-21 13:13:38 +08:00
为什么不放虚机检测。。
|
4
timi 2021-05-21 14:04:11 +08:00
拷贝出来的文件样本一般不会有传播性,本机的可能只是巧合,可以先备份重要数据,装个 everything 全盘搜一下类似的文件有多少,多找几个杀毒软件杀一下
|
5
Chenamy2017 2021-05-21 21:56:20 +08:00
先备份吧
|
6
kensin OP @matrix67 @jokerstep @proxytoworld @timi @Chenamy2017
感谢各位大佬! 目前用 360 强力查杀模式没有发现勒索病毒。 经过回想,当天远程登录 windows 服务器的时候默认挂载了 E 盘,估计是这个原因导致 E 盘部分文件被加密。 感谢大家! |