几台 win 服务器中了勒索病毒

如果已经重启过，基本无解。
没重启的话，据说用反删除软件，可以找回一部分。

我记得一个讨论正版 ide 的帖子下面，很多人都说在公司也用盗版。
我就挺震惊的，但凡出一次事，就是大事。

大概率是局域网内可以访问外网的机器被穿透了，做了跳板
中勒索病毒是无解的，给钱基本也没戏

这个锅背定了。这种东西不是好几年前的嘛。
没打补丁，没装杀毒软件，没做防火墙策略嘛。。。

@pkoukk 放机房里的，就这些服务器组的局域网，全都在路由上禁止访问外网了。现在也是没搞明白哪里来的

这种对公网提供服务的系统，还是装个 360 吧。

我们服务器装了 360 ，让人直接给关掉了。

fastcgi.conf.id[4E42AFDD-2994].[[email protected]].phoenix

@crazytudou 办公网络的机器肯定可以访问这些服务器的吧？不然要服务器有啥用呢
办公网络的机器中了毒，通过一些局域网漏洞拿到了服务器权限，上传了病毒。
我们公司之前也遇到过，有一台办公网机器中毒，黑客用脚本扫到了局域网内服务器上的 redis 弱口令漏洞
提权拿到了服务器权限，然后局域网扫描，服务器挂了一大片，最后紧急断电，中毒的机器格盘才解决

勒索大概率是无解的，不像其他病毒只是占用服务器资源挖矿或者作为肉鸡去搞 ddos 啥的，勒索就是用对称加密把你服务器上的文件进行加密，让你付钱来解密这些文件，之前有些勒索病毒可以被恢复是因为被发现把加密密钥留在中毒的服务器上了，所以只要确认了加密方法就能恢复，如果这个勒索病毒没把加密密钥留在你的服务器上，基本上无解。

中病毒大概率几个途径，一种是远程访问对全互联网开放，而且用了弱口令或者是有重要的安全补丁没打；二是使用各类破解软件，软件自带的病毒；三是内网里有一台中招了，作为跳板在内部通过弱口令或者登录互信啥的互相感染。

平时不维护安全性方面, 一出问题就一锅端...

防火墙规则还是不严格啊，开个堡垒机，仅允许堡垒机做远程访问。内部网络的访问控制能有效降低横向攻击

@pkoukk 是的，路由器上做了远程的 NAT ，远程端口是改过的，办公室是通过远程桌面去安装维护，另外有个 centos 服务器提供了 www 服务，也是一样通过 NAT ，固定 IP 访问

@leoleoleo 可能真无解了，现在有另外两台 centos 用来放数据的，不敢用 Win 服务器去连接了，还不知道有没有问题，其它 win10 服务全中招了

@hack 这样确实可以降低风险，但目前还不知道哪里出的问题，服务器都是开放给其它同事在上面安装软件，这很难搞

第三方软件没从官网下载中招了吧。

开放的服务器还谈什么安全性，当成消耗品处理就行了，勒索了就全盘格调重装。

在英文网站或其他语言的网站下载东西要注意，以前就是担心安全性，所以用虚拟机下载并安装的，就遇到这个情况。

相反中文网站几乎不会出现这么恶毒的病毒。

之前数据库服务器中过加密病毒。windows 在这个情况下有个优势是，文件可以被占用而不被第三方修改，所以当时直接另起一台还能吧数据库里的数据导出来，如果 linux 反而遇上就毁了

快照备份有无？

异地备份有无？

再不济，手工备份有无？

服务器上面 135 137 138 139 445 1433 1434 1521 这些端口封了吗？

给钱，几年前我司是给了 1 个 btc ，数据都给恢复了。

@zhaofy 刚好这些服务器只是用来安装软件的，数据都不在这上面，影响倒不是大，就是得重装安装系统和软件费时间。
1btc...那是你们数据值钱吧，我司应该 0.1 都不会给...

1btc 的数据都不备份？

其实还是有点机会的。。可以试试 no more ransomware project 或 bitdefender decryptor
有些种类的已经有 decryptor 了，就会放在上面

处理过多起勒索病毒加密服务器

已经被勒索的，要不然放弃数据，要不然找备份，要不然交钱。

可以发邮件搞搞价，也可以发几个小文件，让对方先解密，证明对方有解密密钥。


管理端口禁止国外 IP 连接可以解决 99%的问题。