V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
di1012
V2EX  ›  问与答

公司服务器中了勒索病毒

  •  
  •   di1012 · 2019-06-23 16:04:45 +08:00 · 6165 次点击
    这是一个创建于 2014 天前的主题,其中的信息可能已经有所发展或是发生改变。

    小公司,第一次遇到这种情况。服务器上的所有文件都被加密了。。。网站源码都还好说,大不了再重新发布一遍。但是有一个 CMS 系统的数据库也被加密了,就连备份的都被加密了。

    https://tvax1.sinaimg.cn/large/005BYqpggy1g4b5eftvapj30m70eqq3e.jpg

    真的没有办法吗?

    第 1 条附言  ·  2019-06-24 13:13:13 +08:00
    在火绒论坛上问了,确定是 sodinokibi 勒索,目前火绒也无法解密,悲催!

    https://www.idcs.cn/view-3217
    27 条回复    2019-06-24 16:20:23 +08:00
    darkweb
        1
    darkweb  
       2019-06-23 16:38:43 +08:00   ❤️ 1
    让你上暗网汇比特币。。。
    longxiaoyun
        2
    longxiaoyun  
       2019-06-23 16:46:25 +08:00   ❤️ 1
    360 不是针对勒索病毒出了方案么 ,可以试试 https://lesuobingdu.360.cn/
    chinesestudio
        3
    chinesestudio  
       2019-06-23 16:50:47 +08:00 via Android
    如果是本地机器 硬盘拿去恢复数据 也许有救 如果云主机 看看公开的解密有没有用 。不行就去看看人家的网站 数据样本有的话 付钱看看运气。需要运维可以找我 长期或者单次都行 。脚本远程备份数据 避免此类事故。
    nightcat
        4
    nightcat  
       2019-06-23 16:54:08 +08:00
    所以说比特币这种匿名加密货币是把双刃剑
    365hddvd
        5
    365hddvd  
       2019-06-23 18:00:35 +08:00 via Android
    先确认病毒品种吧 如果是国际流行且被攻破的,除了 360,火绒也有工具,重要别重启
    pxw2002
        6
    pxw2002  
       2019-06-23 18:03:25 +08:00 via Android
    没看到索要多少钱啊
    少的话给钱
    xcodeghost
        7
    xcodeghost  
       2019-06-23 19:17:38 +08:00
    想问一下楼主,服务器没有安装杀毒软件吗?
    Greatshu
        8
    Greatshu  
       2019-06-23 19:46:53 +08:00   ❤️ 1
    发个国外的 nomoreransom 项目,https://www.nomoreransom.org/zh/index.html
    各大安全软件厂商都出过病毒解密器,自己找一下吧
    szzhiyang
        9
    szzhiyang  
       2019-06-23 20:11:37 +08:00
    @xcodeghost 杀毒软件也是有局限的,它们只能降低中招的可能性,而不能 100% 避免中招。
    niceday
        10
    niceday  
       2019-06-23 20:27:54 +08:00
    新手问一下
    这种病毒 Linux 服务器会中吗?怎么防范呢
    di1012
        11
    di1012  
    OP
       2019-06-23 21:11:50 +08:00
    @pxw2002 按照文档的指示操作,需要提供 0.18xxxxx 个比特币,价值两千刀左右。如果三天以内不给,价格翻倍
    di1012
        12
    di1012  
    OP
       2019-06-23 21:12:43 +08:00
    @longxiaoyun
    @Greatshu 在你们提供的地址上查了,不存在这种病毒
    656002674
        13
    656002674  
       2019-06-23 21:22:05 +08:00
    没有备份到七牛,又拍或者阿里 OSS,腾讯 COS 的备份文件?
    a566
        14
    a566  
       2019-06-23 21:26:39 +08:00
    你这个也是玩大发了
    peter1988
        15
    peter1988  
       2019-06-23 21:57:39 +08:00
    可以考虑联系下火绒的工程师。
    batman2010
        16
    batman2010  
       2019-06-23 22:35:04 +08:00 via Android   ❤️ 1
    中式英语?
    pxw2002
        17
    pxw2002  
       2019-06-23 22:49:49 +08:00 via Android
    发邮件和他们讨价还价试试
    最好你给他发送一部分文件
    让他解密试试
    别最后给钱了 再不能解密
    chtan
        18
    chtan  
       2019-06-23 23:14:49 +08:00 via iPhone
    15l 的可以考虑下
    dremy
        19
    dremy  
       2019-06-23 23:53:52 +08:00 via iPhone
    远程备份才有意义啊
    natsji
        20
    natsji  
       2019-06-24 01:42:12 +08:00 via Android
    你可以哭穷
    viazure
        21
    viazure  
       2019-06-24 08:44:11 +08:00
    https://github.com/jiansiting/Decryption-Tools 看下这个勒索病毒解密工具的汇总,不知道对你是否有帮助
    linxl
        22
    linxl  
       2019-06-24 09:02:19 +08:00
    忍不住吐槽一下, 你这是哪门子的备份...
    kidcracker1
        23
    kidcracker1  
       2019-06-24 10:59:41 +08:00
    我们公司之前也中过,IT 好像也是联系火绒解决的,15 楼的你可以参考一下。
    di1012
        24
    di1012  
    OP
       2019-06-24 11:23:02 +08:00
    @peter1988
    @chtan
    @kidcracker1 火绒的工程师收费高吗?
    peter1988
        25
    peter1988  
       2019-06-24 11:24:04 +08:00
    @di1012 基本上属于不收费,但是也可能解密不了 因为有些勒索的本地留有私钥。
    Osk
        26
    Osk  
       2019-06-24 11:45:16 +08:00
    我有一个疑问: 对于这种情况, 小公司没有太多的精力运维, 那么使用虚拟机运行业务系统, 定时创建虚拟机还原点能否在一定程度上防止这类悲剧发生?

    当然了, hypervisor 的防护要做好, 不过 hypervisor 对外开放的端口少, 甚至连管理端口都可以使用 ssh 来转发, 相对来说安全性要高得多.
    oIMOo
        27
    oIMOo  
       2019-06-24 16:20:23 +08:00
    我记得之前看过一个帖子:
    中招的联系了安全人员,
    发现马 /病毒在网络不好的时候使用内置 /本地密钥,正好这个密钥在公考密钥的库里面,
    然后安全人员修改了一下解密的程序(适配这个病毒),然后解决了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   943 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 21:04 · PVG 05:04 · LAX 13:04 · JFK 16:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.