[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

前幾天有網(wǎng)友找到我，問中了勒索病毒還有救么？過來了兩張圖；

經(jīng)過客戶的自述，發(fā)現(xiàn)客戶用了frps做內(nèi)網(wǎng)穿透服務(wù)器時(shí)暴露了3389端口被黑進(jìn)來的；

客戶說：周末晚上想遠(yuǎn)程辦公連接一下單位的電腦，發(fā)現(xiàn)登錄失敗密碼不對(duì)，察覺有些異常，再嘗試登錄系統(tǒng)內(nèi)的備用用戶，提示超過連接限制，知道出事了，電腦應(yīng)該是被別人遠(yuǎn)程控制了。隨后就發(fā)現(xiàn)家中開著機(jī)的兩臺(tái)電腦，自己鎖屏了，再打開的時(shí)候開了系統(tǒng)默認(rèn)的音樂文件夾，里邊有一個(gè)bat文件一個(gè)lockbit***.exe。這才意識(shí)到是勒索病毒，第一時(shí)間改掉了家中一臺(tái)電腦的登陸密碼，檢查了一下啟動(dòng)項(xiàng)，全盤查殺了一遍，沒有文件受損。另外一臺(tái)電腦慢了幾分鐘，怕來不及，直接斷網(wǎng)斷電了，再開機(jī)看已經(jīng)晚了，電腦內(nèi)的文件被加密了一半，桌面也提示是lockbit2.0了。這時(shí)反應(yīng)過來可能是RDP端口的問題，趕緊把VPS關(guān)了，里邊跑了frps做內(nèi)網(wǎng)穿透，試圖阻斷病毒對(duì)我單位電腦的繼續(xù)控制，不過文件加密只要一開始沒法斷電的話估計(jì)就白搭了。粗略的檢查了一遍NAS，跑Armbian的N1似乎沒什么大問題都關(guān)機(jī)了。

搜了一晚上這個(gè)勒索病毒相關(guān)的信息，基本上是無解，只能抱有一絲僥幸心理。周一早上到單位用密保問題重置了開機(jī)密碼，打開一看，果然，單位電腦上幾乎所有的文件都被加密了，火絨應(yīng)該是電腦被遠(yuǎn)程控制之后就被關(guān)閉了，那個(gè)bat文件把系統(tǒng)還原點(diǎn)都刪除了，應(yīng)該什么都恢復(fù)不了了，感到絕望。

回想一下應(yīng)該是frp暴露了3389端口，被人RDP爆破黑了進(jìn)來，純數(shù)字開機(jī)密碼，唉，大意了。至于家里的電腦應(yīng)該是通過我單位電腦上的遠(yuǎn)程桌面的訪問紀(jì)錄連上的，我還保存了密碼。胃痛。

單位電腦上的文件，有個(gè)去年9月份的全盤備份，就是最近幾個(gè)月的東西不太好辦了，只能找找微信記錄、郵件記錄什么的了，最難受的就是前兩周剛做的PPT和寫的報(bào)告沒了，還沒給其他人發(fā)過，一點(diǎn)記錄都沒有。現(xiàn)在單位的電腦還斷著網(wǎng)開著機(jī)呆著，目前計(jì)劃是把被感染的兩塊硬盤直接取下來封存，等有辦法解密lockbit的時(shí)候再拿出來試試了，從家里帶了個(gè)筆記本來辦公，后面帶兩塊硬盤替換被感染的那兩塊重裝系統(tǒng)吧。

最后想問一下大佬，現(xiàn)在有沒有一絲希望能夠解密文件，這兩天搜到一個(gè)新聞?wù)f日本警方似乎突破了lockbit3.0。另外想問問，淘寶上的數(shù)據(jù)恢復(fù)商家可靠嗎？

客戶說了這么多，其實(shí)真的是沒啥可救的了，就算去淘寶去找，解密也不是百分百的解密完成，都會(huì)有一些后遺癥，如果真的十分重要，就去整，然后也做好被騙的心理值，還有就是這東西基本是無解，說沒有希望是假，咋也得有1%；遇到這樣的事情，就自認(rèn)倒霉和節(jié)哀吧；

寫在最后：希望大家能吸取教訓(xùn)

1、不要再網(wǎng)上亂下載一些所謂免費(fèi)破解的東西，都是幌子，大家都是成年人，哪里有辣么多的雷鋒，作者不用吃飯喝酒么；

2、多備份，備份次數(shù)太少，頻率太低！

3、RDP默認(rèn)3389端口沒改大忌，一定要改；

4、開機(jī)密碼純數(shù)字強(qiáng)度太低---大忌

5、沒有設(shè)置密碼嘗試次數(shù)限制--大忌（撞庫就是這么嘗試）

問題未解決？付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫所說，是心之所感，思之所悟，行之所得；文當(dāng)無敷衍，落筆求簡潔。 以所舍，求所獲；有所依，方所成！