2/14早上進公司,回報系統不能用,結果發現是中了faust加密勒索病毒
以至於DB資料庫和應用程式都無法正常使用
打開了畫面之後,發現下面的訊息
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]
Write this ID in the title of your message XXXXXXXX-XXXX
In case of no answer in 24 hours write us to this e-mail:<>
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
我們同事先把網路線拔掉
我說不對。留一台最不重要的不關機,其他的都關掉
沒有關掉的伺服器,仍然要拔網路線。
先前有發現加密勒索軟體寫的不好,有BUG,KEY會放在記憶體中
其他的的電腦還在加密,拔網路線沒有用
關機才是重點,才可以減少損失
我一共有3個備份
1份在伺服器上,1份在本地的NAS,另1份是在遠端的NAS
三份都被faust勒索加密~
備份321原則,一份要放在雲端,但是我做不到啊。
我們的資料量太大了
只能線上備份
Synology的NAS 磁碟陣列上Super block被faust弄壞,所以資料不見了
我們是建Raid6
拔掉其中的一顆硬碟,插乾靜的硬碟裝上新的DSM之後,可以正常使用。但是原來的陣列一直出現未出始使
群暉原廠說,這樣他們的設備沒有問題
他丟了一篇文章給我,叫我們自己去救資料
自建的NAS(OMV openmediavault,磁碟陣列也死掉,也是Super Block有狀況)
資料看的到,被faust加密了,但時不是陣列抓不到
抓的到時,檔案也備不出來
我們是用一台舊電腦,幾顆舊硬碟去拼出來的。
目前不確定是不是FAUST勒索加密造成磁碟陣列的問題。
基本上,要我付2BTC
我們公司不可能付的
另外,入侵點和擴散流程有找到
網路上查到FAUST的擴散資訊是惡意廣告、郵件、惡意種子torrent
我們查出來的撒散方式,完全不是這麼回事
最後說一句,離線備份或是實體隔離備份網路還是要的
20230318 如果你是加密勒索軟體或是加密勒索病毒進來的
有幾個處理經驗分享給大家
1.斷網
2.僅留下不重要的主機不關,其他都關掉
(新的勒索加密,留下Bug,留下Key的機會不多,想賭就留)
3.清查入侵路徑
4.看看有無留下後門
如果AD金鑰外流了,重設密碼也沒有用
我們僅在2台電腦中查到2個新建的帳號
直接停用
5.評估災情,擬定救援復原建重計劃
6.重建系統,更新Patch,救出資料
尤重更新和防毒軟體
7.保留現場,請救支援
如果資源夠多,所有的被加密機器停機
抽拔硬碟,使用虛擬機,重建
8.持續觀察,是侵仍有再攻擊和入侵的情況
我們事後,一週被try RDP 800多次
目前已阻檔非台灣的IP連入
9.提高密碼更新頻率
我們是VPN串AD
VPN再被猜到密碼的機率降低很多
隨機文章
- EEE PC-低價電腦來襲,華碩Eee PC要成電腦界的Wii (2007-11-03)
- 爛掉的勞委會過勞檢測網站 (2017-03-17)
- 麻木不仁的政務官? (2011-05-13)
- OLPC 改名乎?價格VS.效能 (2007-11-03)
- IE7/Firefox3開啟後 出現錯誤訊息 (2009-07-15)
你好,我们公司也是中了和你们一样的faust加密勒索病毒,你们购买的解密的软件可以提供吗,万分感谢
最後我們沒有付錢。
另外,就我所知,就算有解密程式,沒有金鑰也是解不開的
可以分享一下入侵點跟擴散方式嗎?好之後防範
主要是VPN的問題,不確定是撞庫還是其他的方式
VPN韌體是最新的,不是韌體的問題
VPN進來之後,就是提權拿到管理者的帳密。
再來就是對各個系統的攻擊。
NAS被搞壞也太奇怪了,除非是已經連進NAS取得主機控制權(例如已控制的電腦上有連結NAS的丈密或憑證)。透過已開放服務的弱點當然也有可能,如果都有patch,透過這個途徑的難度會比較高。所以不禁讓人懷疑是前面的原因。
synology / 自己NAS 入侵著拿到administrator時,有拿到管理權
QNAP 備份機,沒有加入網域,補攻擊,沒有成功。
應該和你推測的結果一致