今天七点五十左右,我发现我的工作机的远程桌面被挤下去了。我以为是断线了就没注意,等我登录再进去看的时候,发现了惊人的一幕。
桌面被人动过了,还放了两个exe文件,其中一个命令行已经执行了,好像是局域网的木马....
我电脑安装的360是团队版不能卸载,另外电脑安装了行为审计系统,索性整个黑客的操作都被截图记录了。
那两个文件我不知道是什么病毒,已经被我保留了,会不会影响到公司整个网络和储存呢?
黑客木马.zip
(90.75KB)
(下载次数:15,昨天 21:05上传)
-----------------------------------------------------
**网友回复**:
简单分析了一下NS-V2.EXE是扫描爆破用的
MKP_NOWIN.exe是勒索病毒
看着是老外搞的东西 但是按照lz说的弱密码就是扫爆然后人工确认开搞你内网勒索你全部机器
建议先物理断网再排查
网友回复:
如果你是在腾讯云上,你就在后台防火墙设置那里,设成只允许你自己的几个IP连接啊。那不就行了嘛
网友回复:
都病毒了,毁灭机房吧
万一健康码变红了咋办
网友回复:
求助求助!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
网友回复:
拔网线,搞个PE进去删除一切改变的东西
你这得备份啊,不备份怎么办?积累经验就当
网友回复:
这个好像是因为没打补丁或者捆绑木马中了勒索病毒了。你还是先备份重要文件吧
网友回复:
前几天我也是。。我是直接密码被改了然后又是因为DD的系统无法直接修改密码后面直接重装了
网友回复:
不是勒索的就问题不大。。重装解决。。勒索的就早点上报吧。。
网友回复:
我自己的电脑,常用的硬盘每周固定备份一次到移动硬盘,不经常用的放硬盘柜里,有重要数据且平时基本不会用到的硬盘我都会用BitLocker加密扔到硬盘柜或者挂在机箱上
网友回复:
推倒重来,公司网络还是用付费订阅的杀毒软件吧,有行为管理居然没IPS/IDS企业级防火墙,也没有设置可信客户端连接这还是让我惊讶了一把
网友回复:
引用:super6969发表于2022-1-622:06
推倒重来,公司网络还是用付费订阅的杀毒软件吧,有行为管理居然没IPS/IDS企业级防火墙,也没有设置可信客...
网友回复:
引用:tubos发表于2022-1-622:07
我在深深的自责中,主要是前几天图方便开了弱口令3389....
网友回复:
引用:WZ-Software发表于2022-1-622:40
交给火绒吧,一天不到给你干掉
网友回复:
搜一下所有最新多出来的文件,
看下进程和服务有没有可疑的不认识的,
抓包软件抓一个有没有可疑的发包,
最保险的方法还是备份重要文件后重装系统
网友回复:
备份重要文件然后重装系统
废不了多少时间
网友回复:
3389,默认用户名,强密码,定期更新,这样四条可得注意啊
网友回复:
引用:tubos发表于2022-1-622:53
火绒收费贵不
网友回复:
简单分析了一下NS-V2.EXE是扫描爆破用的
MKP_NOWIN.exe是勒索病毒
看着是老外搞的东西 但是按照lz说的弱密码就是扫爆然后人工确认开搞你内网勒索你全部机器
建议先物理断网再排查
网友回复:
为何不开启自动更新?为何要装360?为何不用向日葵远程?
网友回复:
内网机器直接映射出去了?如果下班后要连接公司机器建议选择什么向日葵啊啥的,或者用V披N连到公司。别图所谓的方便了。