. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 回复
 
主题工具
shiyu46
 
shiyu46 的头像
高级会员
 
资 料:
注册日期: Sep 2001
帖子: 543 声望值: 3
精华: 2,解答: 5
#1 旧 2019-04-05, 23:21:33 Icon8 【分享】【求助】中了勒索病毒 疑似黑群问题
shiyu46 当前离线  

好像黑裙中毒先,然后同步那个套件反过来把主机的文件同步覆盖掉了。
有点头大 ,损失部分一般重要文件,自动同步害死人了。有黑裙的注意一下

说说经过吧:
最近比较空没事,想想学习学习python,刚好有个网友挺熟悉的会一点,我想省的自己找了,就问他要了点相关的电子书,他给我了一个链接挺全的,我就开始下载。那哥们给的链接到的是国外的网盘,好像是今年云盘,速度非常慢,才10来kb的速度,我下了一个觉得实在太慢就按名称百毒了一下下载这些东西,网盘下载用的是ie挺老的版本(单位工作需要那破玩意)百毒下载的用的google的浏览器。应该是十几年没中过毒了,然后就是平时也就固定的几个网上上,也没有安装杀毒软件。
大概过了半小时左右,那个群晖的同步软件开始跳同步的提示,开始我没怎么在意,后来感觉不对看了一下,发现中毒了,然后断网关机。重启后随便下载了个360开始杀毒(今天下载了个avast扫描,也没扫到什么东西),没杀到多少什么东西,加密也停止了。
晚上查看被加密的文件本机器电脑就是被群晖软件同步过来的几个损坏了(现在仔细查看后发现本机ie的收藏夹里面的内容也全部被加密),而群晖里面的网络资源电影和很多文档全部被加密了,所以发了个帖子说疑似群晖有问题。
群晖的情况是黑裙。。。。然后没开快照(很久不中毒大意了)用nat方式把端口搞到公网了。
重要数据有几个月前的备份,损失情况是很多的视频和少量不太重要的文件没了,然后儿子学习的内容没了,照片挂了一小部分,看论坛和网上别人的分享在那个免费解密的网站查了,没发现这个病毒的解密程序,目前东西还在那边扔着,群晖取消了nat并被我关机了。发现的还算比较早,勒索的弹出内容都没看到,只看到了一个txt。然后就是这东西加密非常快,差不多2-3分钟就就完成了很多文件的加密。

文件名是后面多了 _ _{support@p-security.li}.paradise
txt文件名字Instructions with your files.txt
内容为:
All your files have been encrypted contact us via the e-mail listed below.
e-mail: support@p-security.li or e-mail: support@p-security.li




Paradise Ransomware team.

现在主要怀疑的中招地方是 黑裙一个 然后就是国外网盘或者现在文件的时候点到什么了

此帖于 2019-04-06 15:15:59 被 shiyu46 编辑. .
回复时引用此帖
oar
 
oar 的头像
支柱会员
 
资 料:
注册日期: Oct 2000
帖子: 8,045 声望值: 3
精华: 0,解答: 8
#2 旧 2019-04-06, 00:07:32 默认
oar 当前离线  

听说低版本勒索病毒可以解密,你搜搜看


It's a sad fact of life. Lies are lies ,and sometimes the truth can lies as well.
回复时引用此帖
sunnie
 
sunnie 的头像
热心会员
 
资 料:
注册日期: Nov 2008
帖子: 15,559 声望值: 5
精华: 5,解答: 75
#3 旧 2019-04-06, 01:16:13 默认
sunnie 当前在线  

离线备份+版本备份不可少


我是大包子
回复时引用此帖
lenyixuan
 
lenyixuan 的头像
高级会员
 
资 料:
注册日期: Jul 2001
帖子: 567 声望值: 2
精华: 0
#4 旧 2019-04-06, 05:34:41 默认
lenyixuan 当前离线  

黑裙高于6.2版本以上很久没爆漏洞了,这锅不能乱扔啊。。。


我在寻找适合我的!
回复时引用此帖
shiyu46
 
shiyu46 的头像
高级会员
 
资 料:
注册日期: Sep 2001
帖子: 543 声望值: 3
精华: 2,解答: 5
#5 旧 2019-04-06, 05:50:31 默认
shiyu46 当前离线  

版本6.12,我只是感觉疑似,因为nas里的出问题了,而且本机没同步的那些全部没出问题
具体原因我还在分析。回头空了来所说经过,挺惨痛的教训。老是不愿意更新 真的是个坏习惯
回复时引用此帖
shiyu46
 
shiyu46 的头像
高级会员
 
资 料:
注册日期: Sep 2001
帖子: 543 声望值: 3
精华: 2,解答: 5
#6 旧 2019-04-06, 15:18:14 默认
shiyu46 当前离线  

教训一般惨痛。。。。不知道被加密的东西还有没机会解密。。。。头大!
回复时引用此帖
zhgx
 
zhgx 的头像
核心会员
 
资 料:
注册日期: Feb 2000
帖子: 2,783 声望值: 3
精华: 0,解答: 2
#7 旧 2019-04-06, 15:51:12 默认
zhgx 当前离线  

安装套件中的防毒工具套件,能不能预防中毒?
回复时引用此帖
jacky365
 
jacky365 的头像
热心会员
 
资 料:
注册日期: Aug 2001
帖子: 4,900 声望值: 7
精华: 3,解答: 51
#8 旧 2019-04-06, 17:22:50 默认
jacky365 当前离线  

引用:
作者: shiyu46 查看帖子
好像黑裙中毒先,然后同步那个套件反过来把主机的文件同步覆盖掉了。 有点头大 ,损失部分一般重要文件,自动同步害死人了。有黑裙的注意一下说说经过吧:最近比较空没事,想想学习学习python,刚好有个网友挺熟悉的会一点,我想省的自己找了,就问他要了点相关的电子书,他给我了一个链接挺全的,我就开始下载。那哥们给的链接到的是......
如果群晖先中毒,那么病毒就得是Linux并在群晖系统中运行。

你的群晖有没有在PC上映射为网盘? 如果是的话,应该是PC中了病毒,把磁盘(包括网盘)上的文件进行了加密。
回复时引用此帖
lenyixuan
 
lenyixuan 的头像
高级会员
 
资 料:
注册日期: Jul 2001
帖子: 567 声望值: 2
精华: 0
#9 旧 2019-04-06, 17:55:55 默认
lenyixuan 当前离线  

引用:
作者: shiyu46 查看帖子
版本6.12,我只是感觉疑似,因为nas里的出问题了,而且本机没同步的那些全部没出问题
具体原因我还在分析。回头空了来所说经过,挺惨痛的教训。老是不愿意更新 真的是个坏习惯
嗯,仔细查查原因,不过如果你没有对公网开启群晖的一些薄弱端口,比如相册,或者管理账号弱口令之类,应该不会轻易被勒索病毒感染。
回复时引用此帖
shiyu46
 
shiyu46 的头像
高级会员
 
资 料:
注册日期: Sep 2001
帖子: 543 声望值: 3
精华: 2,解答: 5
#10 旧 2019-04-06, 21:13:08 默认
shiyu46 当前离线  

引用:
作者: jacky365 查看帖子
如果群晖先中毒,那么病毒就得是Linux并在群晖系统中运行。

你的群晖有没有在PC上映射为网盘? 如果是的话,应该是PC中了病毒,把磁盘(包括网盘)上的文件进行了加密。
我感觉大概率就是电脑感染nas了,映射倒是没映射,但是有读写权限的,图方便不是。。。。然后就中招了
回复时引用此帖
muler2000
 
muler2000 的头像
热心会员
 
资 料:
注册日期: Mar 2002
帖子: 4,937 声望值: 3
精华: 0,解答: 6
#11 旧 2019-04-07, 23:50:47 默认
muler2000 当前离线  

PC也不安装杀毒软件的吗?
回复时引用此帖
shiyu46
 
shiyu46 的头像
高级会员
 
资 料:
注册日期: Sep 2001
帖子: 543 声望值: 3
精华: 2,解答: 5
#12 旧 2019-04-08, 12:09:50 默认
shiyu46 当前离线  

引用:
作者: muler2000 查看帖子
PC也不安装杀毒软件的吗?
不安装,从一个极端走到了另一个极端了。。。以前发烧时候装几个杀软。


现在反正感觉杀软就是个大病毒,不能毒死你,但是可以把你恶心的不行,关键也不一定完全靠得住。

数据备份最重要!!!!! 这次其实也没多少实质的损失,唯一的一小部分损失就是自己偷懒了,备份没做到位。
回复时引用此帖
blackeye
 
blackeye 的头像
热心会员
 
资 料:
注册日期: Sep 2002
帖子: 8,113 声望值: 4
精华: 5,解答: 7
#13 旧 2019-06-18, 21:28:45 默认
blackeye 当前离线  

楼主解决了吗?现在免费的5.2版本的病毒工具好像很好用,可以试试
回复时引用此帖
Sun Bird
 
Sun Bird 的头像
初级会员
 
资 料:
注册日期: Jun 2001
帖子: 215 声望值: 3
精华: 0,解答: 3
#14 旧 2019-06-19, 13:52:15 默认
Sun Bird 当前在线  

建议按如下顺序尝试:
1、提取样本上传 https://id-ransomware.malwarehunterteam.com/ 确认勒索病毒“品牌”
2、祈祷 https://www.nomoreransom.org/zh/index.html 提供专用工具
3、祈祷 https://www.emsisoft.com/decrypter/ 提供专用工具
回复时引用此帖
发表新主题 回复

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 14:52:38.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号