这是一个创建于 2206 天前的主题,其中的信息可能已经有所发展或是发生改变。
所谓“溺者常善于水”,作为一个程序员,电脑不喜欢安装 360,但是最近却被勒索软件侵入了,电脑所有资料都被加密了。 具体过程如下:实验室电脑系统是 win10
- 10 月 24 晚上 10 点半左右,正在用远程桌面访问该电脑,发现电脑很卡,打开任务管理器,发现有一个名为 1.exe 的进程,结束进程之后没有发现异常,继续使用。只是发现 PyCharm 无法打开了,于是重新安装了 PyCharm.
- 10 月 25 日上午发现电脑除 C 盘以外所有文件都被加密了,后缀变成 doubleOffset,留下 readme 文件,内容是一个 QQ 邮箱和一个俄罗斯邮箱,
[email protected]or[email protected] - 在线搜索该病毒,没有发现有用信息
- 通过邮箱与与对方联系后,对方表示需要支付 1000 美金的比特币可以解密。
Payment instructions: 1. Go to https://localbitcoins.com/ 2. Register (sign up) 3. You need to buy Bitcoins from people. (You can pay with any >method, which is convenient to you) 4. Send purchased Bitcoins to our address listed below. If you have any questions, you can contact support this service, or email us. Our Bitcoin wallet 1JCqgo5ZAhhhHfcEoPPpUqdCYfPZXeA3Sr
文件名称现在都成了这样,提示各位老哥,如果使用 windows 的话,还是采取一点安全措施,同时,文件要及时备份,不然后悔莫及呀
第 1 条附言 · 2018-10-28 08:30:46 +08:00
这是一个新的病毒,不是去年的永恒之蓝,电脑的 windows 补丁打了,windows defender 打开,重要文件都有备份,我写这个的目的是提醒各位,防止被入侵,目前认为可能出现纰漏的环节就是使用了 frp 进行远程桌面访问。
 |
1
sfqtsh 2018-10-27 16:49:16 +08:00 via Android
微软发的补丁没打?
|
 |
2
tyrealgray 2018-10-27 16:51:05 +08:00 via Android  11
又不是只有 360 才防得住勒索病毒
|
 |
3
HuHui 2018-10-27 16:53:11 +08:00
程序员康复指南
|
 |
5
lrh3321 2018-10-27 16:55:01 +08:00 via Android
没更新系统的?
|
 |
6
SuperMild 2018-10-27 16:55:42 +08:00
自从知道有勒索病毒后,我就订阅了收费的防毒软件,使用感觉良好。
|
 |
7
wz74666291 OP @sfqtsh 现在打上了,本来是一直关闭更新的,哎
|
|
8
wz74666291 OP @HuHui 治疗颈椎病必备
|
 |
9
kikyous 2018-10-27 17:01:14 +08:00 via Android
日常使用 ubuntu 很棒
|
 |
10
Ansen 2018-10-27 17:08:46 +08:00
去年事情闹那么大,你居然还不更新一下
|
 |
11
Moorj 2018-10-27 17:23:53 +08:00 via iPhone
没备份?
|
 |
12
Cu635 2018-10-27 17:29:53 +08:00 27
关闭自动更新可以,去年闹得这么沸沸扬扬的连传统行业最普通的人都知道了,微软都给已经停止维护的 XP 出补丁了,作为程序员却都不去自己不更新一下系统,这只能说明 lz 安全意识太差了,而且 lz 所在的公司 /单位估计也一丁点没有安全意识。
更何况,难道 lz 就不知道其它的安全软件了?就只知道一个流氓 360 ?更何况 360 根本防不住勒索病毒。eset、小红伞还有 avast 这些不都是合格的杀毒软件么? 所以 lz 根本不是“溺者常善于水”,而就是 lz 并不善于水却还要非得下水。 @daigouspy 离题万里,关闭自动更新和看到别人出事了之后再打补丁是不矛盾的。 |
 |
13
peterpei 2018-10-27 17:32:25 +08:00 via Android
火绒也行啊。。。
|
 |
14
ccc008 2018-10-27 17:32:27 +08:00 4
楼主你这真不叫善于水,叫半桶水 哈哈哈(开个玩笑别介意)
|
 |
15
onlin 2018-10-27 17:32:50 +08:00 via Android
常在河边走哪有不湿邪的道理
|
 |
16
strive 2018-10-27 17:35:02 +08:00
昨晚我们公司也是被勒索病毒给入侵了,好多 win 的机器都被感染了.......
|
 |
17
1024MB 2018-10-27 17:36:28 +08:00 via Android 4
反正我是宁愿中毒,也不愿意装 360
|
 |
18
wohenyingyu02 2018-10-27 17:38:11 +08:00 via iPhone
要是中毒和蓝屏二选一,我选中毒
|
 |
19
cfq1491 2018-10-27 17:40:20 +08:00 1
楼主这是典型的一瓶子不满半瓶子咣当,免费的 BD,卡巴斯基,小红伞,360 国际版,还有变相免费的赛门铁克 NPE,ESET,趋势还不够你玩的?
|
 |
20
Ya 2018-10-27 17:41:18 +08:00 1
win10 自带杀毒软件 不更新的吗?
|
 |
21
aloyuu 2018-10-27 17:42:29 +08:00 2
远离 金山 360
|
 |
22
Tink 2018-10-27 17:42:33 +08:00 via iPhone
@tyrealgray #2 390 也放不住
|
 |
23
t6attack 2018-10-27 17:44:18 +08:00 1
这跟 360 没关系。作为程序员,你应该把 ms17-010 补丁打了。
话说,LZ 手里还有其他主机没? bash 漏洞、ssl 心脏出血漏洞,这些补丁是不是也没打? |
 |
24
xxgirl2 2018-10-27 17:50:27 +08:00
如果确实不应该打补丁,我会包一层路由器再借助 linux 机器(树莓派之类的)用内网穿透来访问。
当然我自用的机器都是默认这世界上不存在国产软件的。 |
 |
25
des 2018-10-27 17:50:40 +08:00 via Android
碰到这种东西先创建 dump 文件再杀掉,文件可能还有机会救回来,2333
最重要的还是要多备份 突然想起来我也好久没更新了 |
 |
26
likuku 2018-10-27 17:53:05 +08:00
有效多副本自动备份,异地备份,离线备份,跨洋备份。
|
 |
27
HFX3389 2018-10-27 17:53:51 +08:00
所以你是什么杀软都不装吗?
Windows Defender 开了吗? |
 |
28
msg7086 2018-10-27 18:02:17 +08:00 2
|
 |
29
mon6912640 2018-10-27 18:07:33 +08:00 via Android 1
你哪里善于水?搞安全的吗?不是的话就别说善于水了。。。
|
 |
30
mmdsun 2018-10-27 18:08:11 +08:00 via Android 1
Windows 不是自带 Windows Defender 和安全中心么。Windows Defender 里面有个选项是防勒索病毒的叫文件保护区的功能。
|
 |
31
redapple02041 2018-10-27 18:09:08 +08:00 1
win10 如果装了 1709 以上的版本都应该含有这个补丁了吧。。楼主的 win10 到底是多古董。。
而且不装 360 也不打开 windowsdefender。。真的是 |
|
32
mmdsun 2018-10-27 18:13:19 +08:00 via Android
不要给钱,给钱也不会解密的。去淘宝花钱解密吧
|
 |
33
whwq2012 2018-10-27 18:22:14 +08:00 via Android
可怜,还好我怂。。。
|
 |
35
opengps 2018-10-27 18:31:16 +08:00
建议抓紧监测下内网其他机器。据说这类病毒是靠 windows 的漏洞端口内网扩散
|
 |
36
kernel 2018-10-27 18:38:38 +08:00
即不喜欢装 360 又不上自动更新+自带杀毒又暴露在外网,这不公开裸奔了吗
|
 |
38
656002674 2018-10-27 18:47:15 +08:00
不装安全软件,不开自动更新,也不定期的手动打打补丁。全裸不死都不合理
|
 |
40
May725 2018-10-27 18:57:03 +08:00 1
杀毒软件 != 360
|
 |
41
szzhiyang 2018-10-27 18:57:41 +08:00
@wz74666291 你还记得那病毒是怎么跑到你的电脑上去的吗?你中毒前有没有下载运行什么不明程序?
|
 |
42
waruqi 2018-10-27 19:08:51 +08:00 via Android
无所谓 电脑上没啥重要的东西 代码也是 git 同步备份的 。大不了重装下
|
 |
43
fy 2018-10-27 19:31:21 +08:00 1
所以实际上是上古 Win10 大战陈年勒索病毒?
|
 |
44
vtychx 2018-10-27 19:47:06 +08:00
爆发病毒的那几天,公司全部强制断网,直到装了补丁。
|
 |
46
wolfie 2018-10-27 20:00:10 +08:00
这病毒感觉好久前的啊...
win7 连接公司 wifi 中过一次,电脑太卡看任务管理器多个没见过进程,顺手杀了。 |
 |
48
Admstor 2018-10-27 20:27:36 +08:00 1
一般人说不打补丁怕影响速度,我认为他们无知无畏也就算了
作为程序员不打补丁是几个意思... |
 |
49
felixlong 2018-10-27 20:57:41 +08:00 1
到网上找找这个病毒的主密钥。上次的那个叫 TeslaCrypt 好像主密钥被公布了。或者你可以发邮件给 hacker 哭惨。说不定会给你。
|
 |
51
flynaj 2018-10-27 21:07:52 +08:00 via Android 1
让你不打补丁,让你关闭自带杀毒软件,楼主这种菜🐔也敢跳。
|
 |
52
cjpjxjx 2018-10-27 21:28:09 +08:00 via iPhone
补丁也不打,安全软件也不装,不就相当于把自家大门打开结果进小偷了
|
 |
53
tanpengsccd 2018-10-27 21:32:21 +08:00 via iPhone
不知道为什么看不起 360。360 真的不错👍。除了广告。
|
|
54
wz74666291 OP @szzhiyang 用了几天 frp 的反向代理
|
|
55
cfq1491 2018-10-27 21:46:14 +08:00
@moln 去精睿论坛 bbs.vc52.cn ,里面有 ID 获取器,我记着上海海事大学的 ESET 是外网可以免费用的。
链接: https://pan.baidu.com/s/1kWSUOmRGRgJpHQuMzwuEAw 提取码: sqcc |
|
56
wz74666291 OP @flynaj 没有关闭 windows defender
|
|
57
wz74666291 OP @Cu635 楼主在高校,的确不够有安全意识,个人问题,但是 windows defender 是开着的,不过还是没有防住
|
 |
58
fhbyljj 2018-10-27 21:56:25 +08:00 via Android
360 关闭自动更新补丁,留下治流氓功能
|
 |
59
yujincheng08 2018-10-27 21:57:33 +08:00
@wz74666291 你不更新谁防得住?
|
 |
60
woodrat 2018-10-27 22:37:23 +08:00
一般的勒索病毒都是用去年的 ms-17010 漏洞即“永恒之蓝”入侵系统的。如果关闭了自动更新可以按照下面的步骤处理一下,以免中招。
1、如过不使用 smb,关闭不必要的端口,例如 139、445 端口等。 2. 手动安装“永恒之蓝”漏洞补丁请访问以下页面 页面 https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 其中 WinXP,Windows Server 2003 用户请访问 访问 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 |
 |
61
liaoyaoheng 2018-10-27 22:40:34 +08:00
windows defender 病毒库当时有没有更新?@wz74666291
|
|
62
Cu635 2018-10-27 22:45:47 +08:00
@uptime
我太理解了,所以我才评价说#4 是“离题万里”而不是说#4 “说的不对”。 另外#4 原话是“关闭 自动 更新是政治正确。”,而您说的是:“@Cu635 你是没理解#4 说的「关闭 更新 是政治正确」的语言环境”。 “自动”二字之差,意思相差可就万里了。 @wz74666291 这是完全没有安全意识而不是“不够有安全意识”…… 另外,去年那么大的动静,重灾区就是学校、医院这类单位,医院情况我不太清楚,学校可是都已经上升到 zf 应急处理层面去了,lz 你连学校都没有进行普及教育么…… 这种病毒具有很强的传染性,你一个人中毒,可是给全校都带来危险的。 |
 |
63
xiaopenyou 2018-10-27 22:52:52 +08:00
@woodrat #60 谢谢,但第一个链接不对
|
 |
64
Maxbee 2018-10-27 22:57:15 +08:00
想知道最后给钱了嘛
|
 |
65
claysec 2018-10-27 22:58:38 +08:00
445 啊。。
|
 |
67
skylancer 2018-10-27 23:08:22 +08:00
没有安全常识这种问题不谈,Windows Defender 都要禁用就真的无话可说
|
 |
68
ihciah 2018-10-27 23:09:45 +08:00
win10 似乎因为 CFG 不受那个 445 永恒之蓝影响?或者说受影响但是不好利用。
|
 |
69
WilliamLin 2018-10-27 23:35:17 +08:00
没有安全意识的下场,代码还不备份。
|
 |
70
gzxu 2018-10-27 23:36:01 +08:00
@wz74666291 哥们您哪个交大的😂😂😂别害了我们周围的同学啊兄弟
|
 |
71
liuguang 2018-10-27 23:41:38 +08:00
火绒还是不错的
|
 |
72
heiyutian 2018-10-28 00:01:09 +08:00
|
 |
73
ryd994 2018-10-28 01:31:32 +08:00 via Android 1
买 NAS,上 Windows backup,每 5 分钟上传一次,留档一周
要保证安全的话,服务器上开快照。客户端看不到也删不掉这些快照 |
 |
74
zhzer 2018-10-28 02:05:57 +08:00 via Android
这放毒的自己可能都没想到居然还能钓到鱼
|
 |
75
huanxianghao 2018-10-28 07:03:59 +08:00 3
程序员还会想到装 360 的?或许这就是你中毒的原因了
|
 |
76
ShareDuck 2018-10-28 07:26:06 +08:00 via Android
匪夷所思,我还以为只有小白会不打系统补丁。
|
|
77
wz74666291 OP @WilliamLin 备份了,都在 onedrive 上
|
|
78
wz74666291 OP @wz74666291 关闭更新之前,已经打了 445 的补丁
|
|
79
wz74666291 OP @ryd994 谢谢,这个很有用
|
 |
80
xxl11231220 2018-10-28 08:53:16 +08:00 via Android
即使有几率中毒,我也一样选择裸奔,而且不打系统补丁。
首先杀软多多少少拖慢系统性能,一用杀软就失去跟手的流畅感,我不能忍。 其次打补丁给系统带来各种不稳定风险,蓝屏、莫名其妙的问题,不喜欢折腾,稳定至上。 最后一直有重要文件云备份的习惯,勒索病毒?来来来,随便给你加密 |
 |
81
babedoll 2018-10-28 09:21:47 +08:00 1
搞不懂 那么多文件怎么备份的过来?还宁愿被病毒锁文件也要裸奔,zz。
简单的事弄得这么复杂,好好用杀毒软件不就行了。 |
 |
82
abcbuzhiming 2018-10-28 09:59:06 +08:00
@wz74666291 胆子真大,现在还有人不开自动更新用 windows 操作系统的?
|
|
83
abcbuzhiming 2018-10-28 10:01:24 +08:00
@wz74666291 windows defender 不过是微软自带的简易杀毒软件,你再没开自动更新的情况下,照样是筛子
|
 |
84
RealGM 2018-10-28 10:04:13 +08:00
记得当时微软说 win10 比较安全 不会中勒索病毒 还建议 WIN7 和 XP 用户尽快升级 WIN10
|
 |
85
sublimevsatom 2018-10-28 10:15:21 +08:00 via iPhone 2
https://m.youtube.com/watch?v=oNqcWQ3WL20
找到一个视频,看看你中的是不是这个 |
 |
86
Autonomous 2018-10-28 10:39:13 +08:00
买卡巴斯基吧,三年也才 118 人民币,比你的 1000 美元赎金不知道有多优惠。
|
 |
87
cha222554 2018-10-28 10:40:56 +08:00 1
最新 win10 不会这样子。
肯定是没打补丁或开启了 445 端口。(一般公网不会开启 445 端口 有可能是被内网攻击了喔) |
 |
88
Orciorc 2018-10-28 11:18:25 +08:00 via Android
留了 QQ 邮箱?报警试试,以公司名义应该能受理吧。抓到作者以后说不定会交出主密钥。
|
 |
89
xenme 2018-10-28 11:53:11 +08:00 via iPhone
虚拟机一直没开更新。
那些说开更新的,你确定你 meltdown 和 spectre 相关的固件以及微码补丁都打了? |
 |
90
ddzzhen 2018-10-28 12:10:12 +08:00 via Android
卡巴斯基安心
|
 |
91
konakona 2018-10-28 12:29:24 +08:00
好歹装个火绒啊……我也不用 360,我是火绒走一生。
|
 |
92
hx1997 2018-10-28 12:31:00 +08:00 1
楼主留意下 84L 的视频,这应该是 Cryakl Ransomware
https://www.bleepingcomputer.com/forums/t/632234/cryakl-ransomware-help-support-topic/page-6 |
|
93
wz74666291 OP @sublimevsatom 感谢,正在尝试中
|
|
94
wz74666291 OP @hx1997 感谢
|
 |
95
luc4s 2018-10-28 14:15:08 +08:00
看了下 Cryakl 的传播方式,还真有很大可能是因为 frp 把远程桌面映射到公网导致被入侵的...
https://sensorstechforum.com/doubleoffset-files-virus-remove-restore-files/ |
 |
96
mangoDB 2018-10-28 14:26:10 +08:00
微博上劝人关闭**自动更新**是政治正确。
|
 |
97
niceworld 2018-10-28 14:53:32 +08:00
吃一堑长一智,关闭更新这种事以后就不要再做了
|
 |
98
dalieba 2018-10-28 18:04:32 +08:00 via Android
楼主可以把这个网页收藏下来,然后定期关注一下。
https://www.sysgeek.cn/windows-10-hotfix/ |
 |
99
waterlaw 2018-10-28 19:54:15 +08:00
10 月 23 号的更新使我电脑蓝屏了, 想关闭更新, 看到楼主这贴我又犹豫了。
|
 |
100
xmoiduts 2018-10-28 20:02:18 +08:00 via Android
看到了 frp 带来的潜在风险,请问 zerotier 设备会被轻易扫到吗
|
Select Language