有朋友的服务器中了 Buran 勒索病毒。

2021-06-17 11:11:48 +08:00
 pperlee

服务器中毒我觉得蛮厉害了,当然也表明了他公司的安全人员不厉害。说是通过邮件进入了服务器,但是就算是普通的邮件系统,对于可疑附件,都应该有隔离能力吧?

网上搜了一轮,发现这个病毒特性明显,但是却不容易对付。这个病毒对文件进行了加密,用户在乎的肯定是这些被加密的文件,目前好像并没有特别好的办法解密,网上说只能先对这些被感染文件分析之后,才能确定病毒的类型,因为 Buran 也有不少变种,然后再去看看安全公司有无开发出相应的解密工具。没有解密工具,只能尝试硬盘卷影副本恢复。如果都没有,那么就只能自求多福了。

交钱给黑客,那基本上是另外一种被诈骗的办法。各位有什么看法?

2987 次点击
所在节点    信息安全
8 条回复
ysc3839
2021-06-17 11:21:02 +08:00
“通过邮件进入了服务器”指的是邮件系统有远程代码执行漏洞吗?如果是的话,那即使有什么隔离能力也不可避免吧?
如果不是,那很可能是用户自己运行了恶意程序,这种情况下再怎么隔离也没法阻止用户去运行,除非干脆不允许用户下载附件。
pperlee
2021-06-17 11:31:58 +08:00
@ysc3839 恶意程序如何运行的,我没有收到确切的消息。该公司的服务器管理员也明显存在安全疏忽,其实我更想知道事后该采取什么有步骤措施。我有一些想法:例如首先清除病毒,其次看下有无合适的还原点,然后再试试卷影副本,最后查下有无解密工具。基本上想到就这些,不知道有无更好的。
3dwelcome
2021-06-17 11:38:13 +08:00
“交钱给黑客,那基本上是另外一种被诈骗的办法。各位有什么看法?”

现在黑客都是 RSA 加密,无法逆向破解。

没有密钥,除了交钱,确实没别的办法了。
statement
2021-06-17 11:43:14 +08:00
国际顶级外企也会被勒索,最终也只有交钱能解
Swimming
2021-06-17 13:38:50 +08:00
南京有同行做这个,代付款。抽成 60%
l4ever
2021-06-17 14:28:03 +08:00
"通过邮件进入了服务器"
就算是邮件带有病毒, 咋会在服务器上运行起来的?这是个问题.
scukmh
2021-06-17 14:39:09 +08:00
@l4ever 感觉可能是有人在本地运行了,然后开始扫内网,扫到一个弱密码之类的玩意,上去一把梭。
yy77
2021-06-17 14:56:42 +08:00
没有备份的话(或者备份也被一锅端了话)那就完蛋。服务器估计是开了远程桌面,这样漏洞比较多,还能远程执行就很难防的住了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/783914

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX