吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2547|回复: 17
收起左侧

中招勒索病毒lockbit2.0了,请问现在有救了吗

[复制链接]
voodka 发表于 2023-3-9 13:06
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
唉,描述一下事情的经过吧。

周末晚上想远程办公连接一下单位的电脑,发现登录失败密码不对,察觉有些异常,再尝试登录系统内的备用用户,提示超过连接限制,知道出事了,电脑应该是被别人远程控制了。随后就发现家中开着机的两台电脑,自己锁屏了,再打开的时候开了系统默认的音乐文件夹,里边有一个bat文件一个lockbit***.exe。这才意识到是勒索病毒,第一时间改掉了家中一台电脑的登陆密码,检查了一下启动项,全盘查杀了一遍,没有文件受损。另外一台电脑慢了几分钟,怕来不及,直接断网断电了,再开机看已经晚了,电脑内的文件被加密了一半,桌面也提示是lockbit2.0了。这时反应过来可能是RDP端口的问题,赶紧把VPS关了,里边跑了frps做内网穿透,试图阻断病毒对我单位电脑的继续控制,不过文件加密只要一开始没法断电的话估计就白搭了。粗略的检查了一遍NAS,跑Armbian的N1似乎没什么大问题都关机了。搜了一晚上这个勒索病毒相关的信息,基本上是无解,只能抱有一丝侥幸心理。周一早上到单位用密保问题重置了开机密码,打开一看,果然,单位电脑上几乎所有的文件都被加密了,火绒应该是电脑被远程控制之后就被关闭了,那个bat文件把系统还原点都删除了,应该什么都恢复不了了,感到绝望。

回想一下应该是frp暴露了3389端口,被人RDP爆破黑了进来,纯数字开机密码,唉,大意了。至于家里的电脑应该是通过我单位电脑上的远程桌面的访问纪录连上的,我还保存了密码。胃痛


单位电脑上的文件,有个去年9月份的全盘备份,就是最近几个月的东西不太好办了,只能找找微信记录、邮件记录什么的了,最难受的就是前两周刚做的PPT和写的报告没了,还没给其他人发过,一点记录都没有。现在单位的电脑还断着网开着机呆着,目前计划是把被感染的两块硬盘直接取下来封存,等有办法解密lockbit的时候再拿出来试试了,从家里带了个笔记本来办公,后面带两块硬盘替换被感染的那两块重装系统吧。



希望大家能吸取我的教训!!!【备份次数太少!频率太低!】【RDP默认3389端口没改】【开机密码纯数字强度太低】【没有设置密码尝试次数限制】

最后想问一下各位大佬,现在有没有一丝希望能够解密文件,这两天搜到一个新闻说日本警方似乎突破了lockbit3.0。另外想问问,淘宝上的数据恢复商家可靠吗?
79c44c7a1cd8022148ed4dd5104ef28.jpg
3b9ae97795be6051e8d78ea6e865101.jpg
1ab56bcf55eacbb1e3caf024c07a1b9.jpg

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

创世帅帅 发表于 2023-3-10 12:30
硬盘格式化  然后数据恢复软件试试     先找个U盘  把文件加密  试试能不能恢复再进行
RS水果 发表于 2023-3-10 12:54
火绒可以设置退出密码保护 这样黑客即使连进来也不能退出火绒 然后无法运行病毒文件  火绒也有防篡改保护  估计你也没开
ialove 发表于 2023-3-9 14:29
本帖最后由 ialove 于 2023-3-9 14:31 编辑

祝平安
FRP内网穿透,是不是两边装了才能,ANYDESK之类不更方便吗?
 楼主| voodka 发表于 2023-3-9 14:48
ialove 发表于 2023-3-9 14:29
祝平安
FRP内网穿透,是不是两边装了才能,ANYDESK之类不更方便吗?

用过ANYDESK,不知道是不是电信的原因,速度非常感人,用来远程办公太慢了
lvyiwuhen 发表于 2023-3-9 14:59
祝平安,看来我也得注意了,我的密码什么的都简单,而且还保存在本底,没有安全概念。被人控制了的话,密码都暴露了
pangdong697 发表于 2023-3-9 15:08
我前端时间也是的, frps端口开了. 密码纯数字忘记改了. 后来我30T的全没了.  生气 全不格式化再搞一遍.  NND
ialove 发表于 2023-3-9 15:10
那看来这些FRPS都不安全啊
illiteracy 发表于 2023-3-9 15:24
可以分享下lockbit***.exe吗,谢谢
我的frp是用iptables控制的,iptables可以用两种方式控制,一种是地域我现在就是用china白名单。
另一种是通过ping包大小来打开。
coolcalf 发表于 2023-3-9 15:31
还好目前只有windows系统容易中招
愤怒西瓜 发表于 2023-3-9 15:39
系统内部署个内网v*P*N 通过vpn认证进来,frp透传vpn口
嘿i你的益达 发表于 2023-3-9 16:03
如果数据比较重要的话,建议找找当地的做数据恢复这行的人看看有没有希望(拙见)
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 14:08

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表