关于nas被勒索病毒入侵。
nas吧
全部回复
仅看楼主
level 6
Caesar涂涂 楼主
事由:1月7日夜间用远程桌面,打开了3389端口。直接睡觉忘记关了。1月8日中午13:38发现家里两台主机,一台群晖被勒索病毒入侵。
2025年01月12日 16点01分 1
level 6
Caesar涂涂 楼主
由于nas我映射到了网络磁盘,也惨遭勒索,勒索性Information.txt,大概意思就是叫我花比特币解锁。
2025年01月12日 16点01分 2
w227
@进吧168 VPN是企业级服务,个人不可以开的
2025年02月08日 14点02分
快梧桐吧⚡
我家的网络是联通给的内网ip,根本不给公网ip哈哈哈,他穿透不了。
2025年01月13日 09点01分
进吧168
有远程桌面需求的最好别直接放远程桌面端口,可以用群晖或路由器开个vpn,再来远程
2025年01月23日 10点01分
进吧168
@快梧桐吧⚡ 群晖里就有vpn套件,安装设置一下就好了,或是买个企业路由器,新的没多少钱,二手几十块钱就能买,建议买tp的,可以免费弄五个动态域名
2025年02月09日 07点02分
level 6
Caesar涂涂 楼主
病毒后缀.wstop,淘宝声称可以100%解锁,但要价太高。怀疑贼喊捉贼,或代替联系作者,二道贩子。于是放弃寻找其他方法。
2025年01月12日 16点01分 3
贴吧用户_GCMtaDX
这个病毒底层是全加密的,只能通过加密者密钥解密。他们只是为你代购密钥,远程解密,承担风险。
2025年04月07日 05点04分
我真姓黄
有幸运中过,1000美金。
2025年03月21日 12点03分
wpwxue
好奇要价多少钱
2025年03月05日 01点03分
level 6
Caesar涂涂 楼主
用windows事件管理器,发现了入侵的时间及IP,确认远程桌面投毒。当然这个德国ip只是个肉鸡或代理服务器。
2025年01月12日 16点01分 4
逆隐星辰
我路由器都是禁止国外IP访问的,可惜自带的地址里没有本省地址段,还得自己手动去编辑
2025年08月31日 16点08分
level 6
Caesar涂涂 楼主
由于这台win10主机密码过于简单。被爆破。3389端口没关成为入侵点用于投毒,造成局域网传播到另外一台win11主机和群晖。特征为疯狂挂载群晖文件夹到网络驱动器,加速感染。
2025年01月12日 16点01分 5
扭亲只狗脚
吓死我了,我电脑24小时开机的,我是改了3389端口为其他端口,然后映射端口又是其他端口映射修改的端口。不知道好不好使
2025年04月07日 20点04分
贴吧用户_JQKE9UA
@彩虹岛🎄 不靠谱,高端口也被啰嗦过只是没什么重要的东西直接重装系统
2026年01月29日 10点01分
我原来有昵称的
@蓄意的报复 3389是远程桌面,默认都是关的。我也用,但是我出去后做映射的,外网端口改成其他数字。这样除非人为的点对点攻击,批量扫描一般试几次就去找其他的了,他们也知道,这种会改端口号的,爆破密码只是浪费时间。
2025年01月13日 04点01分
彩虹岛🎄
@蓄意的报复 路由器端口映射,内网选择设备IP,端口3389,外网往后选,,超过三万的端口基本没人扫,,比如33389
2025年01月13日 06点01分
level 6
Caesar涂涂 楼主
以下是我的补救措施:
1.拔掉群晖和win11的网线及电源。由于被入侵的源头电脑win10主要用于游戏。当即格式化并重装。
2025年01月12日 16点01分 6
tokyen17
机器安装过360吗
2025年01月15日 01点01分
level 6
Caesar涂涂 楼主
2.win10版本停留在22h2,怀疑是不是有漏洞。所以我重装为win11,装好后突然发现Windows defender自动关闭,和中毒的时候一样,被关了。
2025年01月12日 16点01分 7
level 6
Caesar涂涂 楼主
3.下载360代替系统默认的防病毒软件,扫描c盘,无威胁。但重启后依然提示修改内存。以下是360的拦截记录,一天内350多次。确认系统为官方镜像,磁盘全部格式化掉了。
2025年01月12日 16点01分 8
Caesar涂涂
已经是所有硬盘全部格式化,重装系统依然报毒。不是硬盘的问题,是bios固件中毒。现在的病毒重装没用。得重刷一遍固件。
2025年01月13日 14点01分
wuhongang
@Caesar涂涂 固件能放多少病毒?其他盘看看
2025年01月13日 19点01分
野生A梦
病毒隐藏在其他盘里面了,光重装c盘没用,你可以装个pe,看看其他盘里面有没有什么可疑文件,把它删掉就行
2025年01月13日 13点01分
和用加
@wuhongang 现在图形化的bios基本存储都挺大的,反倒是垃圾主板没多少空间
2025年01月14日 05点01分
level 6
Caesar涂涂 楼主
4.因为家里的是接入公网的,吓得我赶紧到中兴路由器管理界面关掉DMZ,和端口映射。但修改行为依旧存在,甚至一度劫持QQ。导致QQ莫名掉线。
2025年01月12日 16点01分 10
MR-zhai
dmz...
2025年01月12日 23点01分
多情而不专情
dmz...这个可能才是主要原因。
2025年01月13日 05点01分
😀😋🤗🤗
@华为是中国骄傲 把内网某台主机所有端口完全映射出去
2025年01月13日 13点01分
沫小灬冉
做端口映射啊,你也是胆子大开DMZ
2025年01月13日 07点01分
level 6
Caesar涂涂 楼主
5.既然重装系统解决不了。那么就只有一种可能性,efi病毒。到华硕官网下载BIOS进行更新,360再无提醒。
2025年01月12日 16点01分 11
banks1973
这是个重要信息,谢谢。
2025年01月16日 01点01分
loongson9898
感谢科普
2025年02月07日 00点02分
用户名不重要🙈
感谢科普
2025年02月10日 05点02分
level 6
Caesar涂涂 楼主
6.游戏主机暂时安全,关闭电源。打开另一台办公主机,用自带的Windows defender执行全盘扫描。无威胁,在我检查受损情况时,自己捉到了病毒样本。因为我不可能在图片文件夹内放exe程序,签名为空白,且生成时间诡异。
2025年01月12日 16点01分 12
level 6
Caesar涂涂 楼主
7.压缩一下,用U盘拷贝出来,以便今后进行逆向分析。果然办公主机内所有的文件都被加密。桌面上还是有一封Information点txt的勒索信,但两台主机的加密文件名后缀不一致,应该是基于电脑名分配的,也就是说我要解锁需要购买两个key,此时nas到现在还没看。不敢看。[泪]
2025年01月12日 16点01分 13
回眸泪倾城🌌
有离线备份的话就问题不大
2025年01月13日 12点01分
level 6
Caesar涂涂 楼主
8.我办公主机用的是固态硬盘,进PE用Disk genius手盘恢复无果而终,此后尝试多种恢复软件,每个软件扫三次依旧无法恢复。
2025年01月12日 16点01分 14
level 6
Caesar涂涂 楼主
9.到360勒索病毒库查询,wstop病毒为2024.8月爆发,目前没有解锁工具。但楼主不放弃,将所有加密后的重要资料全部上传到百度网盘,蹲解锁工具,可能一年可能10年。。。随后格盘,更新BIOS,重装系统,此病毒可能属于EFI病毒,先前那台游戏主机重装系统依旧报警。
2025年01月12日 16点01分 15
loongson9898
当心百度直接让这些文件作废啊
2025年02月07日 00点02分
明天
君子报仇十年不晚👍🏻👍🏻
2025年01月13日 20点01分
level 6
Caesar涂涂 楼主
10.最后解决nas的问题。打开群晖,发现快照没了,万念俱灰[泪],又开始上传文件到网盘备份,emby电视库就舍弃了,游戏也舍弃了。本来是把游戏都装在群晖里局域网调取的,我家是2.5G的内网,速度还行。
2025年01月12日 16点01分 16
贴吧用户_Q7XVSUX
@Trs 那不对不会说?傻了吧唧的
2025年02月16日 03点02分
Trs
所以知道为什么群晖有不可变快照了吗?被入侵了快照不会被删掉
2025年01月13日 04点01分
Caesar涂涂
是的,你要自己勾不可变。
2025年01月13日 06点01分
贴吧用户_Q7XVSUX
@Trs 我说的这个快照是群晖内部的,win用不了,win只能全盘备份成快照
2025年02月10日 03点02分
1 2 尾页