[心得] 中了勒索病毒處理

作者leecoco (小白是黃色滴)

看板AntiVirus

標題[心得] 中了勒索病毒處理

時間Mon Jul 27 22:44:16 2020

朋友公司的NAS中獎整個NAS被加密連外接硬碟也跟著全數遭殃 NAS三年前架設的沒有做快照只有做RAID1和外接HD定時備份被加密後的資料夾留有下列訊息 All your data has been locked(crypted). How to unlock(decrypt) instruction located in this TOR website: http://veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatm部分刪除.... Use TOR browser for access .onion websites. https://duckduckgo.com/html?q=tor+browser+how+to 你用TOR瀏覽器進入他給你的網址就會看到金額 https://imgur.com/zqvUdQ7 0.0547比特幣差不多是台幣一萬五她有個對話框可以跟對方對話我跟他殺價0.01對方同意付款金額自動變成 https://imgur.com/l1ZmDMj 之後請朋友幫我支付後就自動產生下載連結檔案下載後有4個檔案 WINDOWS版本 MAC版本 LINUX 和 ARM 裡面有CMD指令加上你要解密的檔案路徑即可就會開始跑因為是公司資料逼不得已一定得解密一開始跟對方要求殺價三天都沒消息也不敢匯款因為不知道是不是真的有人在顧後來對方傳了 OK兩個字匯款結束就給解密檔案了花了台幣三千五只能說已經把傷害縮到最小檔案救回要全數改快照了一次就怕了以上慘痛經驗給大家做參考 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.219.10 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1595861059.A.607.html

→ eva05s: 至少拿回來了 07/27 22:49

→ david0426: 其實可以繼續殺的說0.0 07/28 01:31

→ ANiZan9991: 覺得差不多就可以收手了至少還能殺價保住資料要緊 07/28 02:10

推 paul0303: 接下來，請問有何方法，預防這問題不再發生，又防毒&安 07/28 06:50

→ paul0303: 全軑体都無效嗎，謝謝 07/28 06:50

推 kaihon: 請教有知道是怎麼中的嗎? 07/28 08:34

我後來發現一個帳號的資料夾早在2018年4月就被植入.SO程式碼... 應該是從個人電腦網芳進去加密的...

→ dennisxkimo: 你只能朝降低發生率以及發生了如何讓損失降最低 07/28 13:06

→ dennisxkimo: 犧牲很多都不見得能達到"不再發生" 07/28 13:07

→ dennisxkimo: 公司資料只花三千五零用金水準已經很好了 07/28 13:08

推 wakana0916: 這很便宜 07/28 15:07

→ wakana0916: 不過居然可以殺價我是參考01的文章說可以殺價沒想到還真的可以殺價 07/28 15:07

推 cary3410: 說真的，雖然在道德上不鼓勵付錢讓對方得到甜頭 07/28 16:26

→ cary3410: 但真的有重要事物被勒索綁架時，還真的做不出放棄拯救的 07/28 16:26

→ cary3410: 選擇 07/28 16:26

→ cary3410: 這問題也真是哲學 ... 07/28 16:26

因為公司損失會不只這3500...也沒其他辦法了

推 cbunsg: 還好他還在@@ 備份真的太重要了 07/28 17:07

就是2.5HD外接備份也被加密了...

推 civiltensai: 一開始說朋友公司，後來說請朋友幫你支付？ 07/28 19:39

沒說清楚這是兩個不同人因為要支付比特幣我去申請銀行審查要2-3天就請有挖礦的朋友B 先幫我匯也還好當天就處理隔天彼特幣瞬間漲了10趴

→ civiltensai: 不過NAS有直接對外連線嗎？還是是被哪台電腦感染的 07/28 19:40

→ civiltensai: ？ 07/28 19:40

推 cbunsg: 因為公司無法用比特幣交易吧 07/28 20:26

→ AndCycle: 最近新聞 QNAP 被綁的案例很多, 07/28 21:01

→ AndCycle: QNAP 更新又屬於手動的, 有對外沒更新真的很容易中 07/28 21:02

→ dennisxkimo: 看NAS討論區不少NAS裸奔族的... 07/28 21:57

推 chancewen: 原來是強者我同學XD 07/29 21:06

※ 編輯: leecoco (220.133.219.10 臺灣), 07/29/2020 21:48:18

→ leecoco: 目前考慮做快照+雲端備份了有聽說NAS被打穿快照也GG 07/29 21:49

→ leecoco: 希望有更好的防止方法他們辦公室都需要存取SHARE資料夾 07/29 21:51

→ leecoco: 六個帳號各有資料夾存取NAS 也會有交叉存取的情況 07/29 21:51

→ leecoco: 是不是做快照+異地NAS做累加備份是最佳解? 07/29 21:52

推 GJME: 快照加離線備份吧異地倒是可做可不做就當作是第二個保險 07/30 14:18

→ GJME: 防水災火災用的異地備份如果是用VPN連進內網掛著到時勒索 07/30 14:18

→ GJME: 很難說不會也是一起中招 07/30 14:18

→ GJME: 之前聽過一個做法 MIS每週五或是月底離線備份進一顆外接硬碟 07/30 14:20

→ GJME: 然後老闆自己收好或是帶回家 07/30 14:20

→ GJME: 不然就是老闆家放一台NAS 排程做離線備份做完隨即下線這樣 07/30 14:22

→ GJME: 異地備份像是那種跨國企業通常都有做不過勒索病毒打進企業 07/30 14:24

→ GJME: 內網後就是全球分部一起死 07/30 14:24

推 superRKO: 現在勒索病毒都這麼佛系喔還給殺價 07/31 16:10

推 cbunsg: 樓上勒索作者只是要錢，只要他願意接受，你的理由夠動聽 08/01 09:40

→ cbunsg: ，怎麼會不接受？他比較怕被抓到，一分錢都拿不到 08/01 09:40

→ cbunsg: 但是要做好備份隨時被勒索都能斷尾求生，真的很多公司都 08/01 09:40

→ cbunsg: 做不到 08/01 09:41

推 x20165: 通常要看駭客他覺得資料很重要有的不肯殺 08/01 23:52

→ leecoco: 我大概是隔了快一個禮拜才跟他殺價沒有當下跟他殺 08/06 00:03

→ leecoco: 可能她覺得都可以撐一個禮拜不是啥重要的東西 08/06 00:03

→ leecoco: 但其實很重要朋友公司的職員每個都快瘋了無法報價 08/06 00:04

推 kklighter: 我也殺價過，3萬解鎖…… 08/06 09:47

推 cbunsg: 一個星期後他居然還聯絡的上，還好駭客沒有跑了 08/09 11:44

推 markeros: 請問我留言殺價後他們會如何回我？ 02/17 06:54