V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
1sm23
V2EX  ›  信息安全

中了 crpytowall 勒索病毒

  •  
  •   1sm23 · 2021-08-16 10:48:11 +08:00 · 5574 次点击
    这是一个创建于 1195 天前的主题,其中的信息可能已经有所发展或是发生改变。

    周末没关机,周一一来就这样了,还好没有什么重要资料,电脑里没装什么奇奇怪怪的程序。不知道是不是和开了远程桌面端口 3389 连了腾讯云主机的 frp 有关系

    36 条回复    2021-08-18 10:30:15 +08:00
    Kimen
        1
    Kimen  
       2021-08-16 10:54:06 +08:00
    周五看到一个帖子说 3389 容易被攻击,还好及时改成通过 ssh 转发 3389 端口了
    paradoxs
        2
    paradoxs  
       2021-08-16 10:58:27 +08:00
    电脑没装杀软吗?

    这种东西,基本上连最垃圾的杀软都能防住了吧
    newmlp
        3
    newmlp  
       2021-08-16 10:59:33 +08:00
    3389 使用太广泛了,很容易被搞,还是换个端口,或者用 VPN 吧
    1sm23
        4
    1sm23  
    OP
       2021-08-16 11:05:19 +08:00
    电脑用的 v2rayN 翻墙,软件装了 chrome vscode 企业微信 微信 tim sourcetree fiddler discord,可能是 frp 里 ssh 也开了的原因,而且没改端口。。
    dingwen07
        5
    dingwen07  
       2021-08-16 11:25:24 +08:00
    是弱密码吗,还是说 3389 这么容易被攻击?
    cmdOptionKana
        6
    cmdOptionKana  
       2021-08-16 11:31:24 +08:00
    没用过不知道,未激活的 Windows 能更新吗?
    ruixue
        7
    ruixue  
       2021-08-16 11:54:11 +08:00
    @cmdOptionKana 未激活的 Windows 能更新
    pxlxh
        8
    pxlxh  
       2021-08-16 12:01:29 +08:00
    3389 没密码吗?无公网 ip 用腾讯云 frp 穿透的么

    把无关账号都删掉,所有账号都设置密码,安装几个常见杀软应该不会中毒了吗
    villivateur
        9
    villivateur  
       2021-08-16 12:03:10 +08:00 via Android   ❤️ 2
    楼主能说下你的远程连接密码复杂度吗
    desdouble
        10
    desdouble  
       2021-08-16 12:07:56 +08:00
    内网穿透,安全不可或缺。续断内网穿透有针对 rdp/ssh 的爆破防护,被爆破时自动拦截,还会有短信告警,这功能是免费的。还有防护日志,隧道访问日志,这功能也是免费的。

    总有人觉得小概率事件不会发生在自己身上,自己看不到就认为没有风险。 如果能看到你的端口映射出去每天都有多少来自全球各地的 IP 在扫描,就不会这么乐观了。
    bianz103
        11
    bianz103  
       2021-08-16 12:08:19 +08:00
    擦, 本来还想以后用 frp+rdp 来远程登录的。 密码安全强度不大吗
    desdouble
        12
    desdouble  
       2021-08-16 12:10:11 +08:00
    @newmlp 3389 映射出去之后本来就是个随机端口。换端口没用,用 vpn 靠谱。
    desdouble
        13
    desdouble  
       2021-08-16 12:14:52 +08:00
    @bianz103 有些工具用的是泄露的密码,这样效率更高,跟密码强度关系不大。你要是在别的平台用了相同的密码,并且恰好这个平台被脱过裤,就有危险,多复杂都有危险。
    1sm23
        14
    1sm23  
    OP
       2021-08-16 12:28:09 +08:00   ❤️ 1
    @villivateur #9 特别简单,1-6
    xia0pia0
        15
    xia0pia0  
       2021-08-16 12:44:17 +08:00
    @1sm23 这简单密码,就是改成非常用端口,也没什么用,每天都有大量的机器人、脚本在扫描探测。
    v2tudnew
        16
    v2tudnew  
       2021-08-16 13:09:09 +08:00
    FRP 要用 STCP 协议
    Pinattsu
        17
    Pinattsu  
       2021-08-16 13:19:05 +08:00
    楼主这样会被当成跳板机吧,如果导致内网别的资产受损追查上来肯定要担责任的。
    1sm23
        18
    1sm23  
    OP
       2021-08-16 13:49:20 +08:00
    @xia0pia0 #15 frps 也是默认端口
    xz410236056
        19
    xz410236056  
       2021-08-16 14:01:44 +08:00
    没装杀毒软件?
    villivateur
        20
    villivateur  
       2021-08-16 18:05:59 +08:00 via Android
    @1sm23 那你这不是求着黑客黑你的电脑吗 😓
    hcocoa
        21
    hcocoa  
       2021-08-16 18:17:56 +08:00
    这种私自把 3389 映射到公网的,如果违反了公司安全策略,可以被开除的
    sss15
        22
    sss15  
       2021-08-16 18:24:45 +08:00
    我也吃过这个亏,当时弱密码 1,被比特币勒索了,重装系统,文件全丢
    kokutou
        23
    kokutou  
       2021-08-16 19:51:21 +08:00   ❤️ 1
    密码是 1-6 可还行...
    Huelse
        24
    Huelse  
       2021-08-16 20:15:40 +08:00
    弱密码只能怪自己活该了
    heeeeeem
        25
    heeeeeem  
       2021-08-16 21:26:39 +08:00
    想问下,用向日葵软件进行办公室和家里的电脑互联,有没有这种危险
    ljzxloaf
        26
    ljzxloaf  
       2021-08-16 23:25:13 +08:00

    v2 的广告可以
    ljzxloaf
        27
    ljzxloaf  
       2021-08-16 23:26:37 +08:00
    @ljzxloaf #26 好吧,是节点的原因。。
    hand515
        28
    hand515  
       2021-08-17 08:02:49 +08:00
    frp 直接暴露 3389 端口这种事情,站内见不少。
    一定要用 stcp,设个复杂的 token
    idragonet
        29
    idragonet  
       2021-08-17 08:20:16 +08:00
    frp 二次加密。
    sandman511
        30
    sandman511  
       2021-08-17 08:52:36 +08:00
    请教下各位大佬:电脑用的 v2rayN 会有什么安全隐患嘛
    darknoll
        31
    darknoll  
       2021-08-17 09:01:48 +08:00   ❤️ 1
    主要是缺乏安全意识,认为这种事情离自己很远
    superszy
        32
    superszy  
       2021-08-17 09:11:25 +08:00
    你这不算亏,这么多薄弱环节,只用一个教训就全学会了。
    snuglove
        33
    snuglove  
       2021-08-17 11:25:19 +08:00
    没装杀软.
    linuslv
        34
    linuslv  
       2021-08-17 15:30:38 +08:00
    大多是勒索病毒传播就是靠垃圾邮件和 3389 远程
    gitopen
        35
    gitopen  
       2021-08-18 10:09:04 +08:00
    应该是 frp 弱口令导致的。我也中过。杀软也要设置密码,不然会被退出。
    1sm23
        36
    1sm23  
    OP
       2021-08-18 10:30:15 +08:00
    @gitopen #35 frp 的 token 吗?我确实设置的不复杂,而且是默认端口 7000,没法实验是不是因为这,现在公司的机器是不敢穿透了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2640 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 84ms · UTC 11:06 · PVG 19:06 · LAX 03:06 · JFK 06:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.