日本电子维修技术 NAS使用Windows系统做服务器的请注意勒索病毒入侵

本论坛有很多人自己搭建服务器用来共享数据、下载挂PT、做家庭媒体中心等等。一般大家选择的系统可能是黑裙或者是其他Liunx，也有搭建虚拟机的，但是肯定还有很多人使用简单方便的Windows系统。可惜Windows系统的漏洞实在是防不胜防。
继2015年小范围爆发针对Windows服务器漏洞的勒索病毒攻击之后，去年12月出现此行为的加密升级版本，受此攻击的服务器会遭受文件加密并被黑客勒索。本人今日凌晨中招。本想搭建一个简单的文件共享服务器，随便设置了一个密码并打开了远程桌面，哪想到运行了还没有半个月变遭受攻击，整个硬盘（非系统盘）文件全部被加密，并且文件名被修改成带黑客电子邮件地址的样式。

87PB{P~$H28U0XJ3FT0Y{ZK.png (1.66 KB, 下载次数: 0)

2017-2-4 21:28 上传

本人在网上搜索这种病毒攻击的结果大家参考。
病毒名称：XTBL（已经被卡巴斯基破解），wallet（暂无破解方法16/12/14）
病毒类型：勒索病毒 （黑客勒索的不是法币，而是一种叫bitcoin的匿名货币）
作恶手法：AES或 RSA算法批量加密上百种后缀文件类型或者应用程序，并且把原来的文件名为[email protected] 或者 xxxxx@ india.com.wallet
危险等级：★★★★★ （最高级别） 入侵手段：远程控制协议漏洞（RDP弱口令），远程密码泄露。
病毒特征：黑客留下了他们的联系方式在所有的被加密文件上，比如[email protected]
如何预防：大家自己对症下药，先上防御杀毒，把历年所有未打齐的安全补丁打上（如果有条件还是上windows server 2016)，修改远程控制账户密码，做好密码的管理工作，异地备份数据，异地备份数据，异地备份数据。
Wallet勒索病毒来历：它是个很老牌的勒索病毒XTBL的升级版本(加密算法上更加严谨），XTBL病毒15年出现过几次，后来消失了，今年6月份后（2016年），又再次小规模在全球爆发，他们专门性的针对WINDOWS服务器进行破坏行为，直到2016年11月底，卡巴斯基释放出破解工具(请到这里下载https://noransom.kaspersky.com/ （请复制到游览器）） ,XTBL被彻底消失在这个世界。  但是黑客在几天之内针对卡巴破解工具再次升级变种，今年12月（2016年）大规模出现了wallet病毒，遗憾的是目前卡巴斯基没有找到wallet病毒的破解方法，如果有耐心的维护人员可以等待卡巴斯基爆出新工具，如果急的话，可能唯一的办法只能找黑客妥协，如果数据不着急使用，请随时关注卡巴斯基网站。


评论
此病毒攻击非常凶险，中招的服务器文件损失比格式化还要严重，因为此加密私钥在黑客手中，不答应勒索条件就会删除私钥，导致所有文件无法打开。黑客的加密私钥据说使用了多个key，想破解根本不可能。即便支付了赎金拿到密钥恢复被加密的文件也要好几个小时甚至一两天。。

评论
跟人的习惯有关 ...

我的GEN8就是用的win10做系统，装好系统后第一时间在组策略里把禁止空密码账号远程登陆关掉，也就是开放空密码账号远程登陆，不用每次远程桌面过去都得输入密码

评论

这个病毒就是利用远程桌面漏洞，你关闭了应该就不怕。如果有远程桌面需要的就麻烦了，设置超级复杂超长密码可能避免。

评论

我禁用的是“使用空密码的账号必须本地登陆”

123.png (98.03 KB, 下载次数: 4)

2017-2-4 21:55 上传

评论
慎用路由器中的dmz主机，会把服务器完全暴露在外网。还是端口转发，需要哪个端口打开哪个端口
现在是台服务器就会被攻击，就算没漏洞也会有人暴力敲门，我家服务器的22端口经常有人敲门，在装denyhost以前曾经一个晚上几百兆的登陆请求log文件

评论
真TM 流 氓，估计要赎回得比特币吧。。。

现在比特币真是越来越脏了

评论

就是用比特币的。好像一个币要11000块钱，一般赎回需要2个~5个左右。

评论

现在这么贵了 我记得以前不是0.5-1个左右吗  

就是5k-7k人民币的价格

另外远程桌面我改了端口不知道有没有效果



评论
太不注意安全了吧……简单密码暴露到公网，人家搞不好已经在服务器挂木马或者嗅探个人数据了

评论
我也有公网ip暴露在外的工作站，不过用的linux，只开了22和80端口。

电信给的ip还算好的，阿里云的ip，因为可能是顺着来的，每天被嗅探几千次。。。

评论
卡巴斯基和比特梵得有免费的防勒索软件。

评论

QQ管家也有，不知道是谁家的技术。

评论
所以你win有独立IP? 还是端口映射进去了

评论

禁止在SSH中使用密码登录，随他们敲去


评论

禁止在SSH中使用密码登录，随他们敲去


评论
随便设置了个密码还远程桌面

真是作的一手好死

评论

比特币有干净的时候么？
这种日狗玩意的存在意义难道不就是让网络某处的XX分子们的日子更好过？


评论
看新闻，比特币大部分交易都在中国，不知道勒索支持不支持多国语言啊啊啊！！！

评论
公网IP接linux设备。端口转发一律只允许加密的应用。

评论
远程桌面可以开，但是对外网只开vbn端口，需要先vbn拨号，然后再连远程桌面。

评论

好主意  我目前也是这么弄的

我还反应了一下vbn是啥来者

评论

你居然敢用国产软件……

评论
这个我mark下，回去弄

评论
现在感觉这种病毒越来越嚣张了

评论
楼主，你的外网机器怎么进入内网的windows服务器的？DMZ主机？开放远程桌面端口？

评论

我昨天查了一下，好像是以前开过一个地址的DMZ。。这个正好分配到此地址了。。吓得俺赶紧关闭DMZ。

评论

直接在Windows防火墙设置成内网连接，外网不容许怎么样？

评论

我用来挂PT的机子，没有防范意识。。。
幸亏上面啥也没有，是个旧硬盘，损失不大

评论

路由器安的梅 林，不知道在哪搞端口禁 用。。。
远程桌面的3389端口好像不能改？请教在哪能修改啊？

评论

我的是联通。好像也有公网IP。请问嗅探在哪里看？路由器日志还是服务器？

评论
感谢各位大佬支招。本人菜鸟一个，一直都是玩硬件装机什么的，对软件真是半瓶水。此次中招也是我学习的一个机会，和大家多交流才能涨经验

评论

改注册表，具体去百度

评论

多谢大佬

评论

你可以在路由里端口转发啊。

评论

转发成一个空地址吗？让入侵无法定位到我的主机上？

评论

@AIB003DOX23~3OG}(244S7.png (50.67 KB, 下载次数: 0)

2017-2-5 15:31 上传

大神帮我看看防火墙设置成这样有效果吗？



评论
我们公司的服务器中过一次。当时供应商和基础架构2B，居然把服务器所有端口开在公网上，最后服务器被植入勒索木马，然后通过劫持服务器上的账号感染了文件服务器，短短的几分钟30多万个文件被加密。不经还好有备份系统，最后并没有造成实质性的损失。

评论

把原来3389转到其他端口， 一般应该只会扫描默认端口。

类似22换到其他端口那样。



评论

有大佬教我注册表修改了远程桌面的默认端口。再做端口转发一次就比较安全了吧？

评论

幸好没有损失啊。我这次就是开了所有端口作死
事实再次证明冷备份非常重要。。。不仅仅是防范病毒，防硬件损坏也非常有用。

评论
我年前还遇到了linux下的木马linux backdoor gates5。这是一台客户托管在机房的服务器，centos5.10，WAS4。公网只有22和80，22端口还有访问白名单。就这样不知道什么时候中的木马，我估计木马少说跑了好几年。

评论

嗯 貌似效果一样的哇。

我是NAS挂在二级路由上的， 到一级路由已经做过一次端口映射了。出口再做一次映射换了端口

评论
学习了，以后注意点

评论

注册表可以改，总共是两个项。不过改了后记得再win防火墙吧对应的端口打开

评论

没必要  就一个端口转发就可以了 我所有都是默认端口  然后转发的时候改成自己自定义的 这样修改量最小

评论
winserver 的 默认是只开启管理员账户的吧
而管理员账户是必须有密码的。
你遭到暴利破解也是使用了简单密码
真确的做法是防火墙规范化，密码复杂化，端口禁止暴利破解。
这是网络安全的几个基本。能挡住大多数的攻击
从系统层面来说，规范化的使用，是提升安全等级的最好办法

评论

咨询下，如果虚拟机感染这种病毒，病毒会穿透虚拟机感染到本机吗？

评论

这项到底是禁用还是启用啊，因为我看说明好像说启用该规则的话没有密码的账号就只能通过计算机键盘来登录了，这不是更安全？

评论

我讨厌有密码登陆啊

禁用了这个就不用密码也能远程桌面登陆了，共享的文件也是不用密码就能访问了

评论

应该启用，远程穷举就无效了
但是对于server系统默认来说，管理员用户密码是强制设置的

评论
MARK一下，用得到～～～

评论
所以win10的pin登录是非常好用啊。

评论
win系统就是漏洞百出

评论

我没有弄过虚拟机，不清楚会不会穿透。还请虚拟机大神来解答原理

评论

“规范化”这个说得好！我就是设置随意化导致变成肉鸡的，当时没想到这么多黑客攻击，随便设置了一下就下PT去了。现实证明只要是按照服务器来3玩就得按照服务器规范来设置。

评论
Linux服务器 开启firewalld放行限定端口 + Selinux 才是安全之策。

评论
组策略里面空密码那个应该开启，另外密码输错锁定那个设置设置3次，这样基本没法穷举破解密码了

评论

我已经试着做了。感谢大佬
不会吧？什么原理？
有链接不？
开放空密码账号远程登录反而是好事？

评论

我没说是好事，我是讨厌要密码登陆...

中不中病毒跟个人的水平和使用习惯有关... 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号，不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚，因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗？ 评论 认真看，认真瞧。果然有收
 ·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 ｛日本国际学校｝梅田インターナショナルスクール
·日本学校 LINE：sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場　一時1ドル＝140円台まで上昇？
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
 ·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办？