Board logo

标题: [电脑] 告诫大家遇到勒索绝对不要妥协。遭遇杜瓦勒索.dewar [打印本页]
作者: 我不懂    时间: 2020-2-29 18:45     标题: 告诫大家遇到勒索绝对不要妥协。遭遇杜瓦勒索.dewar

病毒详情见介绍
https://www.free-uninstall.org/h ... ewar-files/?lang=zh

首先告诉大家结果:缴纳赎金之后对方依然不会给你进行任何解密工具和方案
几点经验和大家分享
1. 绝对不要和恐怖分子谈判!
由于中招电脑存了大量照片数据,看了一下赎金要求也不是变态(2000美金BTC),于是就偷懒了

2. 中招是因为挂公网的RDP被暴力皮角,所以大家使用远程工具一定要加强密码设置

3. 中招电脑所有文件都被加密,所有的可执行程序都可以运行

4. 希望找一些广而告之的渠道,让其他也中招的朋友千万不要和对方联系,以免更多的人受损


似乎有些转机
https://www.besttechtips.org/how ... ecrypt-dewar-files/


如果有什么想问的可以留言

[ 本帖最后由 我不懂 于 2020-12-29 17:41 编辑 ]
作者: dizhang    时间: 2020-2-29 18:50

最好的方法其实还是定期给重要文件做好备份,我一般备份到几个硬盘,好几份,硬盘放好,真的电脑万一毁了也没太大损失。
作者: 蚁力神    时间: 2020-2-29 18:51

我是重要资料3个备份,双NAS还有个移动硬盘,NAS实时,移动硬盘一周备份一次
作者: 我不懂    时间: 2020-2-29 18:55

备份习惯都有,而且都是在不同的硬盘上

这次是体现异地灾备的准备不足了。。。
作者: 洒家又回来了    时间: 2020-2-29 18:57

posted by wap, platform: Android
唉,别说了,上礼拜已经中招了,损失惨重。确实异地备份才是正道。
作者: 鬼冢英吉    时间: 2020-2-29 19:04

posted by wap, platform: iPhone
喷了,你们都是怎么中招的,分享一下
作者: 消失在宇宙    时间: 2020-2-29 19:40

posted by wap, platform: iPhone
不开外网访问,安全吗
作者: neoxxx    时间: 2020-2-29 19:44

引用:
原帖由 消失在宇宙 于 2020-2-29 19:40 发表
posted by wap, platform: iPhone
不开外网访问,安全吗
再加上不乱下软件,还是很安全的
作者: prowander    时间: 2020-2-29 20:00

posted by wap, platform: Android
现在远程皮角很厉害
作者: 心之一方    时间: 2020-2-29 20:16

posted by wap, platform: iPhone
电脑中招了群晖会不会也被黑?开了SMB
作者: 我不懂    时间: 2020-2-29 20:17

引用:
原帖由 心之一方 于 2020-2-29 20:16 发表
posted by wap, platform: iPhone
电脑中招了群晖会不会也被黑?开了SMB
理论上会
作者: prowander    时间: 2020-2-29 20:20

posted by wap, platform: Android
只要资源管理器列出来的都会
作者: anime    时间: 2020-2-29 20:27

posted by wap, platform: HTC
赶紧把把rdp的默认用户名和端口都改了
看了下日志,几万条登录失败记录,喷了

本帖最后由 anime 于 2020-2-29 22:54 通过手机版编辑
作者: qazqaz    时间: 2020-2-29 21:36

posted by wap, platform: Android
不开远程,比如群晖外网访问这样的,可不可以防?
作者: chleicool    时间: 2020-2-29 21:43

posted by wap, platform: Android
这个月才中的勒索,绝对不妥协,格盘就是了。
作者: n2    时间: 2020-2-29 21:46

posted by wap, platform: Chrome
是不是点击邮件exe?
作者: Ravanelli    时间: 2020-2-29 21:59

posted by wap, platform: Android
rdp外网用的什么端口?
作者: 我不懂    时间: 2020-2-29 22:02

引用:
原帖由 n2 于 2020-2-29 21:46 发表
posted by wap, platform: Chrome
是不是点击邮件exe?
没发生过,就是rdp暴力皮角
作者: 我不懂    时间: 2020-2-29 22:03

引用:
原帖由 Ravanelli 于 2020-2-29 21:59 发表
posted by wap, platform: Android
rdp外网用的什么端口?
默认3389,现在安全机构也提示大家最好切换默认端口
作者: Ravanelli    时间: 2020-2-29 22:04

posted by wap, platform: Android
哦,那不应该,一般映射时候都会换个乱七八糟端口的
作者: fakecnc    时间: 2020-2-29 22:18

建议加一层VPN,多一道保障
另外,公网上3389你们也敢开啊
作者: n2    时间: 2020-2-29 22:23

posted by wap, platform: Chrome
引用:
原帖由 @我不懂  于 2020-2-29 22:02 发表
没发生过,就是rdp暴力皮角
喷了,那么高级啊,。。他们还有一直扫端口啊。。
作者: THX1    时间: 2020-2-29 23:45

没杀毒软件能防这些东西么
作者: 我不懂    时间: 2020-2-29 23:47

引用:
原帖由 THX1 于 2020-2-29 23:45 发表
没杀毒软件能防这些东西么
理论上破了rdp有没有防毒软件差别不是很大了
作者: raidentime    时间: 2020-3-1 00:12

引用:
原帖由 我不懂 于 2020-2-29 18:45 发表
病毒详情见介绍
https://www.free-uninstall.org/h ... ewar-files/?lang=zh

首先告诉大家结果:缴纳赎金之后对方依然不会给你进行任何解密工具和方案
几点经验和大家分 ...
不好意思,发了N次都发不出来

1.端口?

2.password强度?

3.7还是10?

4.登录时间?
作者: raidentime    时间: 2020-3-1 00:13

真是X了狗了,一直提示有敏感X,只好写这么简单了
作者: achen126    时间: 2020-3-1 00:50

什么鬼?说点大伙儿都能听懂的话,怎么防止?是要拔网线还是关闭什么系统功能???老夫十几个T的资源,万万不可遭这种大劫呀
作者: 资深围观群众    时间: 2020-3-1 02:31

posted by wap, platform: Android
端口不改,真是心大
作者: chachi    时间: 2020-3-1 04:48

默认端口不改,进程里面不停有新进程还不注意点吗,
作者: lvcha    时间: 2020-3-1 07:31

posted by wap, platform: Android
win密码怎么能被暴力皮角呢,除非太简单了。另外rdp不是默认关着的吗?
作者: xue1984    时间: 2020-3-1 08:10

posted by edfc, platform: iPhone 11 Pro
一般的备份意义不大,比如现在备份虚拟机最好的软件veeam,它的备份文件也会被勒索病毒加密,目前企业层面最好的方法就是及时打补丁和磁带备份
作者: 第七个男孩    时间: 2020-3-1 08:15

posted by wap, platform: iPhone
win10自带的远程访问怎么修改端口啊?现在默认是映射的3389
作者: hftrrt    时间: 2020-3-1 09:04

引用:
原帖由 心之一方 于 2020-2-29 20:16 发表
posted by wap, platform: iPhone
电脑中招了群晖会不会也被黑?开了SMB
Posted by Xiaomi MIX 2
有专门针对群晖的勒索病毒
作者: 多余的云    时间: 2020-3-1 09:21

引用:
原帖由 第七个男孩 于 2020-3-1 08:15 发表
posted by wap, platform: iPhone
win10自带的远程访问怎么修改端口啊?现在默认是映射的3389
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp
注册表可以改,改好之后重启服务,或者干脆重启电脑。(注销是无效的)

或者路由器里把外网映射到别的端口。
作者: qhlixpfh    时间: 2020-3-1 09:35

? 一般这种东西不都先给你一个试用的恢复工具可以恢复部分文件的吗
绑票也得让家属知道票还活着啊
作者: MarvinD    时间: 2020-3-1 10:38

posted by wap, platform: Firefox
换端口并没有什么用吧. 扫一扫就出来了.
作者: 契卡    时间: 2020-3-1 11:12

posted by wap, platform: 小米
真有给的啊
作者: 聋则嗅明XP    时间: 2020-3-1 13:15

我多次在这类帖子里强调过,不要付钱,付钱也不会解,因为对方根本称不上黑客,病毒也是拿来的,自己不会解。
作者: fb945    时间: 2020-3-1 13:34

posted by wap, platform: Android
引用:
原帖由 @MarvinD  于 2020-3-1 10:38 发表
换端口并没有什么用吧. 扫一扫就出来了.
扫几个已知端口vs扫全部65535个端口,工作量大了几万倍,没人会这么干的
作者: anime    时间: 2020-3-1 14:47

posted by wap, platform: HTC
引用:
原帖由 @第七个男孩  于 2020-3-1 08:15 发表
win10自带的远程访问怎么修改端口啊?现在默认是映射的3389
没必要改,路由器里映射的时候对外端口随便换一个就好了
作者: Ravanelli    时间: 2020-3-1 15:26

posted by wap, platform: Android
引用:
原帖由 @fb945  于 2020-3-1 13:34 发表
扫几个已知端口vs扫全部65535个端口,工作量大了几万倍,没人会这么干的
而且扫出来又不知道你这端口是干嘛的,再一个个试的时间成本,试出来又不知道能不能皮角,不如直接去皮角3389和22的机器
作者: 我不懂    时间: 2020-3-1 17:25

引用:
原帖由 Ravanelli 于 2020-3-1 15:26 发表
posted by wap, platform: Android
而且扫出来又不知道你这端口是干嘛的,再一个个试的时间成本,试出来又不知道能不能皮角,不如直接去皮角3389和22的机器
对,直接更换映射端口基本上就过了人家的门槛了
作者: oooooooad    时间: 2020-3-1 17:51

定期备份,不过我也不下皮角软件

如果大家都不妥协那这玩意肯定就没戏了,可惜做不到
作者: Ravanelli    时间: 2020-3-1 20:16

posted by wap, platform: Android
引用:
原帖由 @我不懂  于 2020-3-1 17:25 发表
对,直接更换映射端口基本上就过了人家的门槛了
是的,每个人的机器上都开放着大量的端口,有下载的,有语音的,还有游戏的,其中混杂着一个远程桌面的根本试不出来的
作者: prowander    时间: 2020-3-2 10:45

posted by wap, platform: iPhone
群晖主要是社工库暴力皮角,还有就是挂载到win下导致,其他还是相对安全的
作者: 放浪的无责任男    时间: 2020-3-2 14:47

posted by wap, platform: Chrome
引用:
原帖由 @多余的云  于 2020-3-1 09:21 发表
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp
注册表可以改,改好之后重启服务,或者干脆重启电脑。(注销是无效的)

或者路由器里把外网映射到别的端口。
把注册表这个键值随便改成什么数字就可以提高安全性对吗
作者: 多余的云    时间: 2020-3-2 16:00

引用:
原帖由 放浪的无责任男 于 2020-3-2 14:47 发表
posted by wap, platform: Chrome
把注册表这个键值随便改成什么数字就可以提高安全性对吗
对!
主要是加大了皮角人的工作量,就像前面几位说的,几个常用端口VS几万个不常用端口。
不要改成1W以下的端口,不少软件都需要这个范围内的,剩下55534个端口随便用。
作者: 资深围观群众    时间: 2020-3-2 22:06

posted by wap, platform: Android
引用:
原帖由 @MarvinD  于 2020-3-1 10:38 发表
换端口并没有什么用吧. 扫一扫就出来了.
换了端口,别人不知道你这端口是什么进程开的,不会搞你
你开默认3389端口等于是直接告诉别人,我开着RDP
作者: n2    时间: 2020-3-2 22:21

posted by wap, platform: Chrome
引用:
原帖由 @多余的云  于 2020-3-1 09:21 发表
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp
注册表可以改,改好之后重启服务,或者干脆重启电脑。(注销是无效的)

或者路由器里把外网映射到别的端口。
那么我局域网改了后rdp还能访问么?
我看rdp没有设置端口的地方
作者: 龙云天翔    时间: 2020-3-3 08:02

posted by wap, platform: Samsung
不妥协确实
作者: richiter    时间: 2020-3-3 08:24

一般家里的ip天天换,被扫到的可能性不高的,当然3389这种永远不要向外网开放就对了。
作者: raidentime    时间: 2020-3-3 08:30

引用:
原帖由 我不懂 于 2020-3-1 17:25 发表

对,直接更换映射端口基本上就过了人家的门槛了
Posted by Xiaomi MI 9 Transparent Edition
我问一件事情,你密码是不是12345678
作者: squallySP    时间: 2020-3-3 09:19

onedrive 备份的东西也会被破坏么?
作者: 我不懂    时间: 2020-3-3 12:50

引用:
原帖由 raidentime 于 2020-3-3 08:30 发表


     Posted by Xiaomi MI 9 Transparent Edition
我问一件事情,你密码是不是12345678
不是
作者: 唐晓东    时间: 2020-3-3 12:59

360大家没装吗?里面有个360解密大师,可以还原被加密的勒索病毒的文件。
作者: 我不懂    时间: 2020-3-3 16:42

引用:
原帖由 唐晓东 于 2020-3-3 12:59 发表
360大家没装吗?里面有个360解密大师,可以还原被加密的勒索病毒的文件。
这个变种比较新,现在还没有解

硬盘埋干燥箱,等待奇迹出现的一天。。。。
作者: 颜射or墙射    时间: 2020-3-3 17:14

引用:
原帖由 我不懂 于 2020-3-3 16:42 发表

这个变种比较新,现在还没有解

硬盘埋干燥箱,等待奇迹出现的一天。。。。
你密码就算不是123456之类的弱智密码 恐怕也不强吧
作者: 我不懂    时间: 2020-3-3 18:49

引用:
原帖由 颜射or墙射 于 2020-3-3 17:14 发表


你密码就算不是123456之类的弱智密码 恐怕也不强吧
对,自己的责任

所以来告诫一下大家千万不要犯同样的错误
作者: 第七个男孩    时间: 2020-3-3 22:06

感谢楼主帖子,就在这个帖子几天前,因为要用远程协助,映射了3389端口,看到这个帖子到路由器日志里看了下,全是尝试登录的记录,吓尿了,换了个端口映射,今天看已经没有了
作者: Alloyo    时间: 2020-3-3 22:11

posted by wap, platform: Firefox
呵呵有点追求的企业内网是内网,外网是外网,有严格的隔离防火墙

自己家用不能把资料nas和外网访问nas分开吗?多大的事
作者: Alusell    时间: 2020-3-4 02:10

posted by wap, platform: iPhone
用Mac就行了
作者: 小邋遢1    时间: 2020-3-4 02:49

posted by wap, platform: iPhone
求教程
作者: TotemG    时间: 2020-3-4 03:18

posted by wap, platform: iPhone
引用:
原帖由 @Alloyo  于 2020-3-3 22:11 发表
呵呵有点追求的企业内网是内网,外网是外网,有严格的隔离防火墙

自己家用不能把资料nas和外网访问nas分开吗?多大的事
钱的事
作者: voxvox    时间: 2020-3-4 09:41

群晖没有映射外网,只是开了quickconnect,是不是就不会中招了?
作者: thewall    时间: 2020-3-4 16:23

posted by wap, platform: Chrome
提醒两点:
1.改端口并不是太有用,大部分的扫描都能认出哪个端口是什么协议的。
2.一定要在公网上开RDP的,注意一下输入法,有些输入法是可以被用来绕过登录直接进系统的。
作者: thewall    时间: 2020-3-4 16:27

posted by wap, platform: Chrome
引用:
原帖由 @唐晓东  于 2020-3-3 12:59 发表
360大家没装吗?里面有个360解密大师,可以还原被加密的勒索病毒的文件。
这个是针对之前一些获取了解密方法的勒索软件的。
现在的勒索软件在往Wiper发展,实际上设计上就没有解密的可能性,你找他他也解不了的。
作者: 我爱一条柴啊    时间: 2020-3-4 18:47

看完这贴,改了。。。



欢迎光临 TGFC Lifestyle (http://club.tgfcer.com/) Powered by Discuz! 6.0.0