记录:一次被WIS勒索病毒感染的经历

2024 年 1 月 25 日 星期四(已编辑)
51
AI 生成的摘要
这篇文章上次修改于 2024 年 3 月 25 日 星期一,可能部分内容已经不适用,如有疑问可询问作者。

记录:一次被WIS勒索病毒感染的经历

一、收到病毒报告

事情起因是这样的
2024年1月24日晚上7点,我的手机收到了这样一封邮件

然鹅当时的我正在吃饭,并没有点进邮件浏览,也就没有在意,因为在此之前我并不会认为会有人闲到攻击我的电脑。然而事实是吃完饭之后,我照例想解锁电脑玩上几局CF的生化模式(题外话,现在CF生化模式大哥太多了,一把异变清道夫把母体溜的一愣一愣的),然而在锁屏页面无论我怎么输入密码都提示密码错误,在我反复解锁失败之后我得出了一个结论
“密码被篡改了”

二、电脑被暴力破解

我登录PE系统删除了本地账户的密码,进入桌面后发现除了.exe文件之外,所有的文件都被加入了这样的后缀,于此同时,桌面也被替换为了这个。

这怎么能忍!于是乎我打开了入侵者在桌面留下了一封信,信件内容是

我没有耐心去翻译这封信,猜也能猜出来大致内容是你的电脑被入侵了,请汇款获得解锁密钥之类的
但是我内心疑惑的是入侵者是怎么拿到我的电脑权限的呢?
于是我带着疑问在谷歌上搜到了相关的病毒信息

WIS勒索病毒

wis后缀属于makop家族勒索病毒,其常见的后缀还有:makop,mkp,此勒索病毒从2019年开始出现,攻击方式主要是通过爆破远程桌面获取远程桌面登录密码,在拿到远程桌面密码后登录到用户机器上进行手动投毒。 在每个目录下都会留下一个勒索信,名称为:important_information.hta

三、通过谷歌快照重新建站

没想到竟是我的远程桌面密码太简单被暴力破解了,囧。我又翻看了一下火绒自动记录的脚本运行日志,发现入侵者先是暴力破解了我自己的账号密码,然后通过net命令获取到administrator账户权限,把我的登录密码修改了之后,植入了WIS病毒程序。但是我仔细想了想,我的远程桌面端口不是3389,远程地址也从来没有暴露过,在外展示的也都是经过Cloudflare的CDN回源过后的地址,入侵者是怎么知道这些信息的呢,这一点我百思不得其解。没办法了,事已至此我只能选择重装系统,可恨的是我的博客数据都被病毒加密了,只能全部丢弃,幸好文章不太多。通过谷歌快照都找回来,很感谢谷歌爬虫收录了我的网站

快照地址(https://kuaizhao.coderschool.cc/)

于是我就根据这些信息重装了系统,重建了网站,其中的艰难全部拜病毒所赐。

在这里奉劝大家一定要把自己的密码都改成强密码啊!

  • Loading...
  • Loading...
  • Loading...
  • Loading...
  • Loading...