关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 360手机官网 | 社区客户端

推荐 论坛 版块 活动 众测 商城
本帖最后由 niumowan_g 于 2018-2-24 20:24 编辑

2月21号,机器中了.java勒索病毒,所有文件全部被加密为.java后缀,整个机器完全瘫痪.远程桌面登上去发现中毒时,360安全卫士和360杀毒处于完全关闭的状态,甚至软件自己的很多文件都被加密了.
黑客索要0.5btc,按照现在的价格就是3万多人民币!关键是你给他你还不知道他给不给你解!简直是灭顶之灾.
从洋人网站爬文得知,这个病毒是crysis家族的变种,专门攻击rdp漏洞和弱口令,于是我想服务器是直接被人登上去手动结束了360?
因为之前图方便临时开了个管理员帐号,口令较弱.

其余文件本地都有备份,唯独sql的数据库没有,用winhex分析了下,病毒把大文件,只进行了头部处理,而小文件是全部模糊化处理.
外面的数据恢复公司,起步就是2万朝上,仔细看了下winhex,数据库的mdf文件,发现大概文件头0.25M左右全部被填成了00000这样,其余部分
都未处理,这也给找回数据库带来了希望.先找了几个数据库恢复软件,完全没有卵用,要么就是读不出表里的数据,要么就是直接文件报错.
最后找到了半年前的一个mdf对比,手工一点点修复结构,今天终于恢复了,成功导回sql2005里,数据一条没丢!

看论坛这次大规模爆发的.java和其他后缀的crysis变种,安全软件背锅不少,这个.java早在17年11月份就被截获了,样本第一次发现在idransomwar,有人
上传了一份,在查阅病毒资料时发现,17年11月份,几家安全产品公司都发过病毒预警,所以说,做好安全预备是第一位啊,备份,强健的密码,补丁一个都不能少
欢迎中毒的各位交流,希望360尽快出解密的解决方案,同时绝不给赎金


昨天晚上又修复了一个库,看来勒索病毒万变不离其宗,这个还不是我中的.java后缀



共 11 个关于和.java勒索病毒战斗的两天三夜,成功抢救回sql数据库的回复 最后回复于 2018-3-16 13:39

评论

直达楼层

lwqweasd LV6.中尉 发表于 2018-2-23 18:49 | 显示全部楼层 | 私信
感谢您的分享,我们一定尽早发布对应的解密工具!~
niumowan_g LV3.中士 楼主 发表于 2018-2-24 20:22 | 显示全部楼层 | 私信
昨天晚上又弄好了一个库,完美sql,看来几种勒索病毒的原理万变不离其宗,这个中的不是.java也修复了

fdgz22 LV6.中尉 发表于 2018-2-24 22:05 | 显示全部楼层 | 私信
对楼主表示膜拜
尤金卡巴斯基00 LV4.上士 发表于 2018-2-24 22:14 | 显示全部楼层 | 私信
楼主计算机水平这么高登入密码怎么被爆破的?字母加数字12位就很难爆破。加上符号基本不可能用字典爆破了
niumowan_g 我图省事开了个12332的密码,然后完事忘记删了就过年去了 血的教训 
2018-2-24 22:34回复
尤金卡巴斯基00 回复niumowan_g:打开360安全卫士的远程登录保护功能,爆破登录密码的难度会指数爆炸般的提高。 
2018-2-25 19:13回复
niumowan_g 回复尤金卡巴斯基00:已经把远程桌面关了,用上了第三方软件,teamview,目前感觉挺好,速度还比微软的要快 
2018-2-25 23:21回复
尤金卡巴斯基00 LV4.上士 发表于 2018-2-25 19:09 | 显示全部楼层 | 私信

360社区

360社区

360安全专家表示,对付勒索病毒必须以预防为主,针对GlobeImposter等勒索病毒常用的远程登陆攻击手段,360安全卫士专门为服务器系统提供了远程登录保护功能,可以防止黑客利用爆破弱口令远程登录系统,从而避免遭遇数据被加密勒索的损失。
niumowan_g LV3.中士 楼主 发表于 2018-2-28 03:45 来自360社区WAP端 | 显示全部楼层 | 私信
目前又发现几种不同机制,对文件头采用填0处理,然后在中间位置每隔一段地址再加密处理一次,这种性质更恶毒,恢复出的文件会有丢失,可发样本与我一起研究。q764574271
niumowan_g LV3.中士 楼主 发表于 2018-2-28 04:15 来自360社区WAP端 | 显示全部楼层 | 私信
中勒索病毒并且有一定计算机知识的,可保留一份勒索病毒的加密程序,如.java后缀的进程名为payload程序,可发与我或是安全厂商,如能成功逆向,那解密工具基本也就成了
毛线你大爷 LV1.上等兵 发表于 2018-3-7 18:01 | 显示全部楼层 | 私信
上次被加密的文件还保存起在,希望亲爱的360早日推出解密工具
help有 LV1.上等兵 发表于 2018-3-13 02:12 | 显示全部楼层 | 私信
大神,电脑文档被加密未crab尾缀的文件。但之前对几个重要文件刚好做了一个备份,所以有一个正常的和一个加密的,这个好恢复吗?
vixenxyy LV10.上校 发表于 2018-3-13 08:04 | 显示全部楼层 | 私信
楼主厉害
360fans165144577 LV1.上等兵 发表于 2018-3-16 13:39 来自360社区WAP端 | 显示全部楼层 | 私信
大神,我公司电脑昨晚也中了这个java能帮忙恢复吗?感激不尽!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

niumowan_g LV3.中士

粉丝:3 关注:0 积分:155

精华:0 金币:23 经验:150

最后登录时间:2018-10-28

私信 加好友

niumowan_g

粉丝:3 关注:0

私信

最新活动

手机冬季活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        360社区客户端下载

        快速回复 返回顶部 返回列表