這是一台vps中勒索病毒(ransomware)的事件記錄與檢討,加密的時間點是在月中,平常是開啟著Shadowsocks的服務給client連線使用,只有一個月一次的測試我會RDP連上桌面使用Chrome 測試網站速度,結果昨天登入時看到一個開啟著的文字檔和未關閉的process hacker程式,文字檔是勒索說明和連絡方式

因為vps 只有提供ss server服務和broswer測試,沒有重要文件或是資料,所以重新安裝即可,但是要吸取教訓,避免再犯才是最治本的方式

防止勒索病毒的官方網站

https://www.cisa.gov/stopransomware

https://www.nomoreransom.org/en/index.html

正常情況下,中勒索病毒時建議先來這找解藥,我們的vps沒有資料,所以直接重新安裝了

後來才想到應該要找看看蛛絲馬跡的,不過來不及了,已經損毀證據了

因為是我在使用的共用帳號中毒的,所以我是suspector,但是我可以確認的是,除了一個月一次的測試網站之外,我不會去下載其他軟體或是點官方網站之外的連結

  1. 因為有限制只能從office IP連線,以為很安全
  2. 明知道密碼很簡單卻沒有更改,因為我之前改完密碼後過一個月要登入常常忘記,所以就不改了,經驗學習,寧可忘記,也不要不改預設密碼了,後來透過https://blog.mitm.site/2021/10/25/l0phtcrack-password-for-windows/ 測試,預設密碼是秒被破解
  3. 大家都知道共用帳號不安全,但是比起管理眾多機器和帳號的管理者作業便利性而言,除非可以有更好的管理方式,否則不能說服管理者建立一堆帳號,目前想到的解決方式就是https://www.jumpserver.org/
最後修改日期: 28/10/2021

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。