作者leecoco (小白是黃色滴)
看板AntiVirus
標題[心得] 中了勒索病毒處理
時間Mon Jul 27 22:44:16 2020
朋友公司的NAS中獎 整個NAS被加密 連外接硬碟也跟著全數遭殃
NAS三年前架設的沒有做快照 只有做RAID1和外接HD定時備份
被加密後的資料夾留有下列訊息
All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website:
http://veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatm部分刪除....
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to
你用TOR瀏覽器進入他給你的網址就會看到金額
https://imgur.com/zqvUdQ7
0.0547比特幣差不多是台幣一萬五
她有個對話框可以跟對方對話 我跟他殺價0.01對方同意
付款金額自動變成
https://imgur.com/l1ZmDMj
之後請朋友幫我支付後 就自動產生下載連結 檔案下載後有4個檔案
WINDOWS版本 MAC版本 LINUX 和 ARM
裡面有CMD指令 加上你要解密的檔案路徑即可 就會開始跑
因為是公司資料逼不得已一定得解密 一開始跟對方要求殺價三天都沒消息
也不敢匯款因為不知道是不是真的有人在顧 後來對方傳了 OK兩個字
匯款結束就給解密檔案了 花了台幣三千五 只能說已經把傷害縮到最小
檔案救回要全數改快照了 一次就怕了 以上慘痛經驗給大家做參考
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.219.10 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1595861059.A.607.html
1F:→ eva05s: 至少拿回來了 07/27 22:49
2F:→ david0426: 其實可以繼續殺的說0.0 07/28 01:31
3F:→ ANiZan9991: 覺得差不多就可以收手了 至少還能殺價 保住資料要緊 07/28 02:10
4F:推 paul0303: 接下來,請問有何方法,預防這問題不再發生,又防毒&安 07/28 06:50
5F:→ paul0303: 全軑体都無效嗎,謝謝 07/28 06:50
6F:推 kaihon: 請教有知道是怎麼中的嗎? 07/28 08:34
我後來發現一個帳號的資料夾早在2018年4月就被植入.SO程式碼...
應該是從個人電腦 網芳進去加密的...
7F:→ dennisxkimo: 你只能朝降低發生率 以及 發生了 如何讓損失降最低 07/28 13:06
8F:→ dennisxkimo: 犧牲很多 都不見得能達到"不再發生" 07/28 13:07
9F:→ dennisxkimo: 公司資料 只花 三千五 零用金水準 已經很好了 07/28 13:08
10F:推 wakana0916: 這很便宜 07/28 15:07
→ wakana0916: 不過居然可以殺價
我是參考01的文章說可以殺價 沒想到還真的可以殺價 07/28 15:07
11F:推 cary3410: 說真的,雖然在道德上不鼓勵付錢讓對方得到甜頭 07/28 16:26
12F:→ cary3410: 但真的有重要事物被勒索綁架時,還真的做不出放棄拯救的 07/28 16:26
13F:→ cary3410: 選擇 07/28 16:26
14F:→ cary3410: 這問題也真是哲學 ... 07/28 16:26
因為公司損失會不只這3500...也沒其他辦法了
15F:推 cbunsg: 還好他還在@@ 備份真的太重要了 07/28 17:07
就是2.5HD外接備份也被加密了...
16F:推 civiltensai: 一開始說朋友公司,後來說請朋友幫你支付? 07/28 19:39
沒說清楚 這是兩個不同人 因為要支付比特幣 我去申請銀行審查要2-3天
就請有挖礦的朋友B 先幫我匯 也還好當天就處理 隔天彼特幣瞬間漲了10趴
17F:→ civiltensai: 不過NAS有直接對外連線嗎?還是是被哪台電腦感染的 07/28 19:40
18F:→ civiltensai: ? 07/28 19:40
19F:推 cbunsg: 因為公司無法用比特幣交易吧 07/28 20:26
20F:→ AndCycle: 最近新聞 QNAP 被綁的案例很多, 07/28 21:01
21F:→ AndCycle: QNAP 更新又屬於手動的, 有對外沒更新真的很容易中 07/28 21:02
22F:→ dennisxkimo: 看NAS討論區 不少NAS裸奔族的... 07/28 21:57
23F:推 chancewen: 原來是強者我同學XD 07/29 21:06
※ 編輯: leecoco (220.133.219.10 臺灣), 07/29/2020 21:48:18
24F:→ leecoco: 目前考慮做快照+雲端備份了 有聽說NAS被打穿快照也GG 07/29 21:49
25F:→ leecoco: 希望有更好的防止方法 他們辦公室都需要存取SHARE資料夾 07/29 21:51
26F:→ leecoco: 六個帳號各有資料夾存取NAS 也會有交叉存取的情況 07/29 21:51
27F:→ leecoco: 是不是做快照+異地NAS做累加備份是最佳解? 07/29 21:52
28F:推 GJME: 快照加離線備份吧 異地倒是可做可不做 就當作是第二個保險 07/30 14:18
29F:→ GJME: 防水災火災用的 異地備份如果是用VPN連進內網掛著 到時勒索 07/30 14:18
30F:→ GJME: 很難說不會也是一起中招 07/30 14:18
31F:→ GJME: 之前聽過一個做法 MIS每週五或是月底離線備份進一顆外接硬碟 07/30 14:20
32F:→ GJME: 然後老闆自己收好或是帶回家 07/30 14:20
33F:→ GJME: 不然就是老闆家放一台NAS 排程做離線備份 做完隨即下線這樣 07/30 14:22
34F:→ GJME: 異地備份像是那種跨國企業通常都有做 不過勒索病毒打進企業 07/30 14:24
35F:→ GJME: 內網後就是全球分部一起死 07/30 14:24
36F:推 superRKO: 現在勒索病毒都這麼佛系喔 還給殺價 07/31 16:10
37F:推 cbunsg: 樓上 勒索作者只是要錢,只要他願意接受,你的理由夠動聽 08/01 09:40
38F:→ cbunsg: ,怎麼會不接受?他比較怕被抓到,一分錢都拿不到 08/01 09:40
39F:→ cbunsg: 但是要做好備份 隨時被勒索都能斷尾求生,真的很多公司都 08/01 09:40
40F:→ cbunsg: 做不到 08/01 09:41
41F:推 x20165: 通常要看駭客他覺得資料很重要 有的不肯殺 08/01 23:52
42F:→ leecoco: 我大概是隔了快一個禮拜才跟他殺價 沒有當下跟他殺 08/06 00:03
43F:→ leecoco: 可能她覺得都可以撐一個禮拜 不是啥重要的東西 08/06 00:03
44F:→ leecoco: 但其實很重要 朋友公司的職員每個都快瘋了 無法報價 08/06 00:04
45F:推 kklighter: 我也殺價過,3萬解鎖…… 08/06 09:47
46F:推 cbunsg: 一個星期後 他居然還聯絡的上,還好駭客沒有跑了 08/09 11:44
47F:推 markeros: 請問我留言殺價後 他們會如何回我? 02/17 06:54