作者leecoco (小白是黄色滴)
看板AntiVirus
标题[心得] 中了勒索病毒处理
时间Mon Jul 27 22:44:16 2020
朋友公司的NAS中奖 整个NAS被加密 连外接硬碟也跟着全数遭殃
NAS三年前架设的没有做快照 只有做RAID1和外接HD定时备份
被加密後的资料夹留有下列讯息
All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website:
http://veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatm部分删除....
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to
你用TOR浏览器进入他给你的网址就会看到金额
https://imgur.com/zqvUdQ7
0.0547比特币差不多是台币一万五
她有个对话框可以跟对方对话 我跟他杀价0.01对方同意
付款金额自动变成
https://imgur.com/l1ZmDMj
之後请朋友帮我支付後 就自动产生下载连结 档案下载後有4个档案
WINDOWS版本 MAC版本 LINUX 和 ARM
里面有CMD指令 加上你要解密的档案路径即可 就会开始跑
因为是公司资料逼不得已一定得解密 一开始跟对方要求杀价三天都没消息
也不敢汇款因为不知道是不是真的有人在顾 後来对方传了 OK两个字
汇款结束就给解密档案了 花了台币三千五 只能说已经把伤害缩到最小
档案救回要全数改快照了 一次就怕了 以上惨痛经验给大家做参考
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.133.219.10 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1595861059.A.607.html
1F:→ eva05s: 至少拿回来了 07/27 22:49
2F:→ david0426: 其实可以继续杀的说0.0 07/28 01:31
3F:→ ANiZan9991: 觉得差不多就可以收手了 至少还能杀价 保住资料要紧 07/28 02:10
4F:推 paul0303: 接下来,请问有何方法,预防这问题不再发生,又防毒&安 07/28 06:50
5F:→ paul0303: 全軑体都无效吗,谢谢 07/28 06:50
6F:推 kaihon: 请教有知道是怎麽中的吗? 07/28 08:34
我後来发现一个帐号的资料夹早在2018年4月就被植入.SO程式码...
应该是从个人电脑 网芳进去加密的...
7F:→ dennisxkimo: 你只能朝降低发生率 以及 发生了 如何让损失降最低 07/28 13:06
8F:→ dennisxkimo: 牺牲很多 都不见得能达到"不再发生" 07/28 13:07
9F:→ dennisxkimo: 公司资料 只花 三千五 零用金水准 已经很好了 07/28 13:08
10F:推 wakana0916: 这很便宜 07/28 15:07
→ wakana0916: 不过居然可以杀价
我是参考01的文章说可以杀价 没想到还真的可以杀价 07/28 15:07
11F:推 cary3410: 说真的,虽然在道德上不鼓励付钱让对方得到甜头 07/28 16:26
12F:→ cary3410: 但真的有重要事物被勒索绑架时,还真的做不出放弃拯救的 07/28 16:26
13F:→ cary3410: 选择 07/28 16:26
14F:→ cary3410: 这问题也真是哲学 ... 07/28 16:26
因为公司损失会不只这3500...也没其他办法了
15F:推 cbunsg: 还好他还在@@ 备份真的太重要了 07/28 17:07
就是2.5HD外接备份也被加密了...
16F:推 civiltensai: 一开始说朋友公司,後来说请朋友帮你支付? 07/28 19:39
没说清楚 这是两个不同人 因为要支付比特币 我去申请银行审查要2-3天
就请有挖矿的朋友B 先帮我汇 也还好当天就处理 隔天彼特币瞬间涨了10趴
17F:→ civiltensai: 不过NAS有直接对外连线吗?还是是被哪台电脑感染的 07/28 19:40
18F:→ civiltensai: ? 07/28 19:40
19F:推 cbunsg: 因为公司无法用比特币交易吧 07/28 20:26
20F:→ AndCycle: 最近新闻 QNAP 被绑的案例很多, 07/28 21:01
21F:→ AndCycle: QNAP 更新又属於手动的, 有对外没更新真的很容易中 07/28 21:02
22F:→ dennisxkimo: 看NAS讨论区 不少NAS裸奔族的... 07/28 21:57
23F:推 chancewen: 原来是强者我同学XD 07/29 21:06
※ 编辑: leecoco (220.133.219.10 台湾), 07/29/2020 21:48:18
24F:→ leecoco: 目前考虑做快照+云端备份了 有听说NAS被打穿快照也GG 07/29 21:49
25F:→ leecoco: 希望有更好的防止方法 他们办公室都需要存取SHARE资料夹 07/29 21:51
26F:→ leecoco: 六个帐号各有资料夹存取NAS 也会有交叉存取的情况 07/29 21:51
27F:→ leecoco: 是不是做快照+异地NAS做累加备份是最佳解? 07/29 21:52
28F:推 GJME: 快照加离线备份吧 异地倒是可做可不做 就当作是第二个保险 07/30 14:18
29F:→ GJME: 防水灾火灾用的 异地备份如果是用VPN连进内网挂着 到时勒索 07/30 14:18
30F:→ GJME: 很难说不会也是一起中招 07/30 14:18
31F:→ GJME: 之前听过一个做法 MIS每周五或是月底离线备份进一颗外接硬碟 07/30 14:20
32F:→ GJME: 然後老板自己收好或是带回家 07/30 14:20
33F:→ GJME: 不然就是老板家放一台NAS 排程做离线备份 做完随即下线这样 07/30 14:22
34F:→ GJME: 异地备份像是那种跨国企业通常都有做 不过勒索病毒打进企业 07/30 14:24
35F:→ GJME: 内网後就是全球分部一起死 07/30 14:24
36F:推 superRKO: 现在勒索病毒都这麽佛系喔 还给杀价 07/31 16:10
37F:推 cbunsg: 楼上 勒索作者只是要钱,只要他愿意接受,你的理由够动听 08/01 09:40
38F:→ cbunsg: ,怎麽会不接受?他比较怕被抓到,一分钱都拿不到 08/01 09:40
39F:→ cbunsg: 但是要做好备份 随时被勒索都能断尾求生,真的很多公司都 08/01 09:40
40F:→ cbunsg: 做不到 08/01 09:41
41F:推 x20165: 通常要看骇客他觉得资料很重要 有的不肯杀 08/01 23:52
42F:→ leecoco: 我大概是隔了快一个礼拜才跟他杀价 没有当下跟他杀 08/06 00:03
43F:→ leecoco: 可能她觉得都可以撑一个礼拜 不是啥重要的东西 08/06 00:03
44F:→ leecoco: 但其实很重要 朋友公司的职员每个都快疯了 无法报价 08/06 00:04
45F:推 kklighter: 我也杀价过,3万解锁…… 08/06 09:47
46F:推 cbunsg: 一个星期後 他居然还联络的上,还好骇客没有跑了 08/09 11:44
47F:推 markeros: 请问我留言杀价後 他们会如何回我? 02/17 06:54