- 主题:也说说遭遇勒索病毒
说下经历,数据多的个人建议看看
1、开放了RDP端口
弄到了公网IP,为方便远程回家开了3389,没及时关。但有密码保护。
2、遭遇病毒
回家发现电脑卡,很多文件被改名,杀软被卸载,查看进程有个高活动进程。顺手关掉。
PS,事后才知道是我用于数据分析的小文件帮我争取了时间,我有几万个小文件,病毒加密这些文件花了不少时间。
3、应急处理
判断中毒了,拔电源。
拔网线,本机与其他设备作物理隔离。后续操作至数据恢复全程在此环境下操作。
应急U盘进系统,寻找并删除病毒文件。
4、数据盘点
逐一盘点损失了哪些数据,我总共大概有40万个文件,损坏了10万+,逐一分析哪些是需要的,哪些不需要。需要的存在一空的硬盘里,贴上标签等日后兴许能恢复。最终看,除去有备份的,剩下损失的多是一些数据实验的过程文件,还好。
后续继续建立文件清单,用于数据恢复。
PS,后来看,病毒入侵到我发现只过了10分钟左右,但就损失了这么多文件,真是险。
5、数据恢复
全盘格式化,重装系统。视情况做一次全盘扫描,避免病毒伤害冷备文件。
从冷备盘(全村的希望 :D )中恢复数据。
恢复完成后全盘扫描病毒。确认没病毒木马再恢复正常使用。
6、完善备份体系
学习了备份321原则:3份数据,2种介质,1份异地。结合实际,做如下管理:
工作站中设置热数据区、备份数据区,热=>备份。
NAS中设置私有云备份区,专用账户写,平时使用低权限账户读。
另有一台跑应用的服务器,做私有云的镜像。做季度备份。
再拿一块硬盘,做私有云的离线备份。一年同步一次。
天翼云,日常备份一些成果物。
7、防范措施
rdp端口仅在使用时开放,使用完关闭。路由器使用强口令保护。
设置蜜罐,设监控程序,若蜜罐损坏直接断电。
--
修改:ackerx FROM 120.36.23.*
FROM 120.36.23.*
跳板机有没有用关键还是看你怎么使用跳板机。
如果有条件的话,可以做权限隔离,进一步可以做网闸和使用审计。
但这有点企业级防护的味道了,可能不适合个人。
【 在 guestking 的大作中提到: 】
: 弄个跳板机能防吗
:
--
FROM 120.36.23.*
我没法改高端口,因为单位防火墙连对外访问都控制。我猜测有一定用处但不一定很大。
强密码肯定是必要的。
【 在 Siegelion 的大作中提到: 】
: RDP一般是漏洞被破解还是密码不够复杂被攻破?
: 改高端口加复杂密码有用吗
--
FROM 120.36.23.*
这样效果肯定好,但太麻烦了,而且确认用于访问的IP都不是件容易的事。
【 在 SPWaistcoat 的大作中提到: 】
: RDP端口只对特定IP开放,还会中招吗?
:
--
FROM 120.36.23.*
是的,作为个人使用,无非就是利用灵活性多搞一点便利再多一点安全。
【 在 No1 的大作中提到: 】
: 安全与便利的权衡,是不可回避的。
: 我早些年有台托管的win server也是被植入了病毒,好在远程抢救回来了,后来为了便利也只改了个大数字rdp端口,强化了密码,后来倒是就没被攻进去过。
:
--
FROM 120.36.23.*
只要数据开放写共享,那数据就没有受到保护,不论数据介质前有几层跳板,不论是否异构。
做好备份是王道。能自保就可以了。方法很多。
【 在 lvsoft 的大作中提到: 】
: 我的处理方法之前就多次说过了。
: 首先我工作环境是linux,windows玩游戏为主。
: 其次我的工作环境不用硬盘,整个系统+数据都由nas机器以网络启动的形式提供。
: ...................
--
FROM 124.78.54.*
你说的那个男生是不是就是你自己
【 在 hgoldfish 的大作中提到: 】
: 想起以前上大学的时候开共享。。男生往上面传那啥的。坏了我在女生里面的名声。
:
--
FROM 124.78.54.*
补丁都是及时安装的。
【 在 pht398 的大作中提到: 】
: 楼主你的操作系统是不是win7 连win7 sp1 都不是?
: 来自 V1813BT
--
FROM 222.68.18.*
tv之流仅仅就是搞了内网穿透,我用公网IP自然就解决内网穿透问题了,不需要用它们。
【 在 formydream 的大作中提到: 】
: 为啥不用向日葵,tv一类的软件
: :
--
FROM 124.78.54.*
我已禁用admin登陆,改名字无用,我确实是用的管理员权限。
【 在 ttaudi 的大作中提到: 】
: 楼主是不是默认用administrator账户?把它改其它名字能否提高安全性?
--
FROM 124.78.54.*