V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pperlee
V2EX  ›  信息安全

有朋友的服务器中了 Buran 勒索病毒。

  •  
  •   pperlee · 2021-06-17 11:11:48 +08:00 · 3130 次点击
    这是一个创建于 1259 天前的主题,其中的信息可能已经有所发展或是发生改变。

    服务器中毒我觉得蛮厉害了,当然也表明了他公司的安全人员不厉害。说是通过邮件进入了服务器,但是就算是普通的邮件系统,对于可疑附件,都应该有隔离能力吧?

    网上搜了一轮,发现这个病毒特性明显,但是却不容易对付。这个病毒对文件进行了加密,用户在乎的肯定是这些被加密的文件,目前好像并没有特别好的办法解密,网上说只能先对这些被感染文件分析之后,才能确定病毒的类型,因为 Buran 也有不少变种,然后再去看看安全公司有无开发出相应的解密工具。没有解密工具,只能尝试硬盘卷影副本恢复。如果都没有,那么就只能自求多福了。

    交钱给黑客,那基本上是另外一种被诈骗的办法。各位有什么看法?

    8 条回复    2021-06-17 14:56:42 +08:00
    ysc3839
        1
    ysc3839  
       2021-06-17 11:21:02 +08:00 via Android
    “通过邮件进入了服务器”指的是邮件系统有远程代码执行漏洞吗?如果是的话,那即使有什么隔离能力也不可避免吧?
    如果不是,那很可能是用户自己运行了恶意程序,这种情况下再怎么隔离也没法阻止用户去运行,除非干脆不允许用户下载附件。
    pperlee
        2
    pperlee  
    OP
       2021-06-17 11:31:58 +08:00
    @ysc3839 恶意程序如何运行的,我没有收到确切的消息。该公司的服务器管理员也明显存在安全疏忽,其实我更想知道事后该采取什么有步骤措施。我有一些想法:例如首先清除病毒,其次看下有无合适的还原点,然后再试试卷影副本,最后查下有无解密工具。基本上想到就这些,不知道有无更好的。
    3dwelcome
        3
    3dwelcome  
       2021-06-17 11:38:13 +08:00
    “交钱给黑客,那基本上是另外一种被诈骗的办法。各位有什么看法?”

    现在黑客都是 RSA 加密,无法逆向破解。

    没有密钥,除了交钱,确实没别的办法了。
    statement
        4
    statement  
       2021-06-17 11:43:14 +08:00
    国际顶级外企也会被勒索,最终也只有交钱能解
    Swimming
        5
    Swimming  
       2021-06-17 13:38:50 +08:00
    南京有同行做这个,代付款。抽成 60%
    l4ever
        6
    l4ever  
       2021-06-17 14:28:03 +08:00
    "通过邮件进入了服务器"
    就算是邮件带有病毒, 咋会在服务器上运行起来的?这是个问题.
    scukmh
        7
    scukmh  
       2021-06-17 14:39:09 +08:00
    @l4ever 感觉可能是有人在本地运行了,然后开始扫内网,扫到一个弱密码之类的玩意,上去一把梭。
    yy77
        8
    yy77  
       2021-06-17 14:56:42 +08:00
    没有备份的话(或者备份也被一锅端了话)那就完蛋。服务器估计是开了远程桌面,这样漏洞比较多,还能远程执行就很难防的住了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1432 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:53 · PVG 07:53 · LAX 15:53 · JFK 18:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.