勒索病毒截图
上班发现电脑各种异常,程序图标异常,文件后缀全是陌生后缀了,所有文件都被加密了...
病毒怎么入侵的?
公司有香港的专线,也有各种纯净IP,可以访问各种限制网站
在公司上部署了frpc + clash,frpc和clash都设置了高位端口和超长随机密码,clash也有分流规则,只允许github、gpt、midjourney等网站。目的就是为了在家开启clash就能直接访问公司的内网服务和国外的AI网站。这种一般还算是比较安全,frpc只是暴露了clash的socket5端口。
但是由于我最近远程桌面需求比较多,图方便,直接通过frpc暴露了windows的远程桌面端口。远程桌面端口也换成了高位端口,且密码是数字+英文12位,问题也就出在了这一步 。那些不讲武德的人,就开始暴力尝试登录远程登录,没想到试过了无数次后被成功攻破了...
病毒怎么传播的?
进入了我的桌面,这时候开始植入病毒文件了。病毒文件暴力破解密码开始搞其他内网主机,那些纯数字密码的电脑最容易破解了,然后开启攻击的节点变多了,感染机器也多了。IT也加班忙起来了,我也跟慌了。我也跟着出主意找防护方案。
怎么解决的?
- 物理隔离病毒主机,断网,重装系统
- 开启了远程桌面登录的尝试错误次数的冷却机制
- 下发规则,让所有电脑都安装最新补丁,查杀病毒
- 修改密码为数字+英文+特殊字符
后续
因为这事,感染了几台不重要的电脑主机,还好最后都控制住了。IT也加了几天班,我内疚的点了超大杯的奶茶表达了歉意。我也从此断了在公司电脑上的安装这类软件的想法了
代码要记得每天下班前都提交啊!不然中了勒索病毒,那可什么都没了!
